Katalog CVE

CVE-2026-56412

ŚrednieCVSS 4.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.11%

Percentyl 1 — wyżej niż 1% wszystkich znanych CVE

Streszczenie

W bibliotece libexpat przed wersją 2.8.2 nie uwzględniono XML_TOK_DATA_CHARS w funkcji doCdataSection, co prowadzi do braku śledzenia głębokości wywołań handlerów w przypadku naruszenia polityki. Może to skutkować wystąpieniem błędu use-after-free.

Ocena ryzyka

Organizacje mogą być narażone na ataki wykorzystujące ten błąd, co może prowadzić do nieautoryzowanego dostępu do pamięci i potencjalnych wycieków danych.

Rekomendacja

Zaleca się aktualizację biblioteki libexpat do wersji 2.8.2 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

libexpat before 2.8.2 does not consider XML_TOK_DATA_CHARS in doCdataSection and thus lacks handler call depth tracking for various calls from within handlers in cases of a policy violation. Thus, a use-after-free can occur. NOTE: this issue exists because of an incomplete fix for CVE-2026-50219.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS