CVE-2025-49796

چکیده

یک آسیب‌پذیری در کتابخانه libxml2 به دلیل Type Confusion هنگام پردازش المنت های sch:name در فایل XML ورودی، باعث خرابی حافظه می‌شود. این آسیب پذیری امکان ایجاد اختلال در سرویس یا عملکردهای نامشخص به دلیل خرابی داده‌های حساس را فراهم می‌کند.

توضیحات

این آسیب‌پذیری در کتابخانه libxml2 به دلیل Type Confusion (CWE-125) هنگام پردازش المنت های خاص sch:name در فایل XML ورودی رخ می‌دهد. مهاجم می‌تواند با ایجاد فایل XML مخرب، باعث خرابی حافظه شده و منجر به کرش کردن libxml2 گردد که نتیجه آن ایجاد اختلال در سرویس (DoS) یا عملکردهای نامشخص به دلیل خرابی داده‌های حساس در حافظه است. این آسیب پذیری از راه دور و بدون نیاز به احراز هویت قابل بهره‌برداری بوده و پیچیدگی پایینی دارد. طبق اعلام   Red Hat این آسیب‌پذیری بر Red Hat Enterprise Linux نسخه‌های 7، 8، 9، 10 و Red Hat JBoss Core Services تأثیر می‌گذارد، در حالی که نسخه 6 خارج از محدوده پشتیبانی است. هیچ پچ امنیتی تا زمان به‌روزرسانی (16 ژوئن 2025) منتشر نشده و تنها راهکار پیشنهادی اجتناب از پردازش اسناد XML غیرقابل اعتماد است.

CVSS

لیست محصولات آسیب پذیر

نتیجه گیری

به کاربران توصیه می شود از پردازش اسناد XML غیرقابل اعتماد خودداری کرده و منتظر به‌روزرسانی‌های Red Hat باشند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-49796
2. https://www.cvedetails.com/cve/CVE-2025-49796/
3. https://access.redhat.com/security/cve/CVE-2025-49796
4. https://bugzilla.redhat.com/show_bug.cgi?id=2372385
5. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-49796
6. https://vuldb.com/?id.312377
7. https://nvd.nist.gov/vuln/detail/CVE-2025-49796
8. http://cwe.mitre.org/data/definitions/125.html