Katalog CVE

CVE-2025-4945

NiskieCVSS 3.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.54%

Percentyl 41 — wyżej niż 41% wszystkich znanych CVE

Streszczenie

W bibliotece HTTP libsoup, używanej w aplikacjach GNOME i innym oprogramowaniu, wykryto błąd w logice parsowania ciasteczek. Podczas przetwarzania daty wygaśnięcia ciasteczka, specjalnie spreparowana wartość może wywołać przepełnienie liczby całkowitej, prowadząc do nieokreślonego zachowania. Umożliwia to atakującemu ominięcie logiki wygaśnięcia ciasteczek, powodując ich trwałe lub niezamierzone działanie.

Ocena ryzyka

Organizacja narażona jest na ryzyko utrzymywania się nieautoryzowanych sesji lub naruszenia mechanizmów bezpieczeństwa opartych na ciasteczkach, co może prowadzić do niekontrolowanego dostępu do zasobów.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę libsoup do najnowszej wersji zawierającej poprawkę usuwającą podatność. W międzyczasie zaleca się ograniczenie zaufania do ciasteczek pochodzących z niezaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in the cookie parsing logic of the libsoup HTTP library, used in GNOME applications and other software. The vulnerability arises when processing the expiration date of cookies, where a specially crafted value can trigger an integer overflow. This may result in undefined behavior, allowing an attacker to bypass cookie expiration logic, causing persistent or unintended cookie behavior. The issue stems from improper validation of large integer inputs during date arithmetic operations within the cookie parsing routines.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS