libxml2 < 2.13.8 / 2.14.x < 2.14.2 の複数の脆弱性 (macOS)
high Nessus プラグイン ID 234891
Language:
概要
リモートホストにセキュリティ更新がありません。説明
リモートホストにインストールされている libxml2 のバージョンは、複数の脆弱性の影響を受けます。- 2.13.8 および 2.14.xより前、2.14.2 より前の libxml2 では、戻り値が正しくないため、Python API (Python バインディング) で領域外のメモリアクセスが発生する可能性があります。これは、xmlPythonFileRead と xmlPythonFileReadRaw でバイトと文字が異なることにより発生します。(CVE-2025-32414)
- libxml2 のバージョン 2.13.8 および 2.14.x 以前、2.14.2 以前では、xmlSchemaIDCFillNodeTables 関数 (xmlschemas.c 内) にヒープベースのバッファアンダーリードが存在します。これを悪用するには、細工された XML ドキュメントを特定の ID 制約のある XML スキーマに照らして検証するか、細工された XML スキーマを使用する必要があります。(CVE-2025-32415)
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
libxml2 バージョン 2.13.8、2.14.2 または、それ以降にアップグレードします。参考資料
プラグインの詳細
深刻度: High
ID: 234891
ファイル名: macos_libxlm2_2_14_2.nasl
バージョン: 1.1
タイプ: local
エージェント: macosx
公開日: 2025/4/28
更新日: 2025/4/28
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: High
基本値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C
CVSS スコアのソース: CVE-2025-32414
CVSS v3
リスクファクター: High
基本値: 7.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
脆弱性情報
CPE: cpe:/a:xmlsoft:libxml2
必要な KB アイテム: Host/MacOSX/Version, installed_sw/libxml2
パッチ公開日: 2025/4/7
脆弱性公開日: 2025/4/7
参照情報
CVE: CVE-2025-32414, CVE-2025-32415
IAVA: 2025-A-0229-S, 2025-A-0293