Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w oprogramowaniu libxml2
29 czerwca 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2026-11979
Data publikacji 29 czerwca 2026
Producent podatnego oprogramowania xmlsoft
Nazwa podatnego oprogramowania libxml2
Podatne wersje Wszystkie do 2.15.3 włącznie
Typ podatności (CWE) Stack-based Buffer Overflow (CWE-121)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w oprogramowaniu xmlsoft libxml2 i koordynował proces ujawniania informacji.

Podatność CVE-2026-11979: W libxml2 zidentyfikowano wiele podatności typu stack-based buffer overflow w funkcjonalności xmlcatalog uruchamianej w trybie --shell. Funkcja usershell() przetwarza dane wejściowe użytkownika przy użyciu buforów na stosie o stałym rozmiarze, bez odpowiedniego sprawdzania granic. Dostarczając zbyt długi ciąg wejściowy, atakujący może doprowadzić do przepełnienia wewnętrznych buforów (command, arg i argv) podczas analizy danych wejściowych. To prowadzi do uszkodzenia pamięci w ramce stosu. Pomyślne wykorzystanie tej podatności może spowodować awarię lub potencjalnie umożliwić zdalne wykonanie kodu w kontekście procesu xmlcatalog.

Ten problem został rozwiązany w commitcie c2e233fc.

Uwaga: Twórca projektu nie uznał tego problemu za podatność a wyłącznie za błąd.

Podziękowania

Za zgłoszenie podatności dziękujemy Michałowi Majchrowiczowi oraz Marcinowi Wyczechowskiemu z zespołu AFINE.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.