2.9.5より前のlibxml2でのxpointer.c（10より前のApple iOS、10.12より前のOS X、10より前のtvOS、3より前のwatchOSで使用の場合）は、XPointerの範囲で名前空間ノードを禁止しないため、リモートの攻撃者が、細工されたXMLドキュメントを介して任意のコードを実行したり、サービス拒否（メモリ解放後使用（Use After Free）およびメモリ破損）を引き起こしたりする可能性があります。（CVE-2016-4658）2.9.5より前のlibxml2でのparser.cは、NEXTLマクロがDTD名に「%」文字がある場合にxmlParserHandlePEReference関数を呼び出すため、 パラメーターエンティティ参照を不適切に処理します。（CVE-2017-16931）

検出

Amazon Linux 2：libxml2（ALAS-2019-1301）

critical Nessus プラグイン ID 129559

バージョン 1.3