CVE-2025-4476
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 23 - wyżej niż 23% wszystkich znanych CVE
Streszczenie
W bibliotece klienta HTTP libsoup wykryto podatność na odmowę usługi. Problem występuje, gdy klient libsoup otrzyma odpowiedź HTTP 401 (Unauthorized) z spreparowanym parametrem domeny w nagłówku WWW-Authenticate. Przetworzenie takiego nagłówka może spowodować awarię aplikacji klienckiej korzystającej z libsoup.
Ocena ryzyka
Atakujący może wykorzystać tę podatność, uruchamiając złośliwy serwer HTTP i nakłaniając użytkownika do połączenia się z nim. Skuteczny atak prowadzi do awarii aplikacji klienckiej, co skutkuje przerwaniem jej działania (odmowa usługi).
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę libsoup do wersji, w której usunięto tę podatność. Do czasu aktualizacji zaleca się unikanie łączenia się z niezaufanymi serwerami HTTP.
Oryginalny opis (angielski, źródło NVD)
A denial-of-service vulnerability has been identified in the libsoup HTTP client library. This flaw can be triggered when a libsoup client receives a 401 (Unauthorized) HTTP response containing a specifically crafted domain parameter within the WWW-Authenticate header. Processing this malformed header can lead to a crash of the client application using libsoup. An attacker could exploit this by setting up a malicious HTTP server. If a user's application using the vulnerable libsoup library connects to this malicious server, it could result in a denial-of-service. Successful exploitation requires tricking a user's client application into connecting to the attacker's malicious server.

