В широко используемой библиотеке libxml2 выявлены пять уязвимостей. Две из них позволяют выполнить вредоносный код в системе. Для одной проблемы уже найдено решение, остальные ждут своего часа.
Пользователям родственной libxslt следует иметь в виду, что эта библиотека содержит три незакрытые уязвимости, а работы по сопровождению проекта приостановлены.
Уязвимость CVE-2025-6021 в libxml2 связана с ошибкой целочисленного переполнения, которое приводит к записи за границами буфера. Проблема возникла из-за некорректной реализации функции xmlBuildQName(); патч включен в состав сборки 2.14.4 пакета.
Уязвимость CVE-2025-6170 (переполнение буфера в стеке) проявляется при запуске интерактивной оболочки xmllint, инструмента командной строки, используемого для парсинга XML-файлов. Причина — неадекватная проверка размера входных данных.
Эксплойт позволяет вызвать состояние отказа в обслуживании (DoS), которое при отсутствии соответствующей защиты в системе можно использовать для выполнения произвольного кода.
Три DoS-уязвимости обнаружил Никита Свешников из Positive Technologies. Две из них оценены как критические (CVE-2025-49794 и CVE-2025-49796), одна — как высокой степени опасности (CVE-2025-49795).
В прошлом году в libxml2 объявилась уязвимость XXE (возможность XML-инъекции), позволяющая получить несанкционированный доступ к конфиденциальным данным.
С тех пор политика раскрытия проблем безопасности, выявляемых в libxml2, изменилась: теперь информация публикуется до выпуска исправленных версий, чтобы сообщество активнее принимало участие в создании патчей.
Комментирует Сергей Хайрук, аналитик InfoWatch:
«Сейчас бывшему сотруднику предъявлены обвинения в компьютерном взломе. Однако если полиция докажет, что злоумышленник собирался продать полученные данные или использовать их в мошеннических целях, его действия, скорее всего, переквалифицируют и предъявят более тяжкое обвинение в «краже личности». Впрочем, интересно другое – информационная система госпиталя оказалась совершенно не подготовлена к саботажу со стороны уволенного сотрудника. Складывается ощущение, что руководство госпиталя даже не рассматривало риск неправомерных действий персонала в отношении данных пациентов».