CVE-2026-58016
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 26 — wyżej niż 26% wszystkich znanych CVE
Streszczenie
W bibliotece GLib wykryto podatność polegającą na błędzie stanu w funkcji g_dbus_node_info_new_for_xml() podczas przetwarzania nieprawidłowego XML-a introspekcji D-Bus. Zagnieżdżenie elementu <node> wewnątrz innych elementów, takich jak <method>, <signal>, <property> lub <arg>, może prowadzić do przepełnienia liczby całkowitej bez znaku i odczytu poza zakresem pamięci, co skutkuje odmową usługi.
Ocena ryzyka
Atakujący może zdalnie spowodować awarię aplikacji korzystającej z GLib, wysyłając specjalnie spreparowany XML introspekcji D-Bus, co prowadzi do przerwania działania usługi (DoS).
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę GLib do wersji zawierającej poprawkę usuwającą podatność. Jeśli aktualizacja nie jest możliwa, ogranicz dostęp do usług D-Bus tylko do zaufanych źródeł.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in GLib. A state confusion issue exists in g_dbus_node_info_new_for_xml() in the gio/gdbusintrospection.c file when processing malformed D-Bus introspection XML, specifically with a <node> element nested within other elements like <method>, <signal>, <property> or <arg>. This issue can cause an unsigned integer overflow and lead to an out-of-bounds read, resulting in a denial of service.

