「libxml2」にXXE脆弱性 - 利用アプリに影響

「XML」のパーサー機能などを提供するライブラリ「libxml2」に脆弱性が明らかとなった。同ライブラリを用いるアプリケーションにおいて影響を受けるおそれがある。

XML外部実体参照（XXE）の脆弱性「CVE-2024-40896」が明らかとなったもの。細工したXML文書などを処理することで、認証なしにリモートから悪用できるとしている。

「SAXパーサー」の動作に起因し、「カスタムSAXハンドラ」がエンティティの内容を上書きしようとした際、外部エンティティ関連のイベントを生成できるとしている。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.1」と評価。重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。

同脆弱性に関しては、現地時間7月24日にリリースされた「libxml2 2.13.3」「同2.12.9」「同2.11.9」にて修正されており、アップデートが呼びかけられている。

（Security NEXT - 2024/12/27 ） ツイート

PR

関連記事

深刻な「React」脆弱性、米当局が悪用に注意呼びかけ
先週注目された記事（2025年11月30日〜2025年12月6日）
解析ライブラリ「Apache Tika」に深刻なXXE脆弱性 - コア部分も更新を
「React」脆弱性、実証コード公開 - 悪用リスクが上昇
サイバー攻撃で顧客管理システムのPWが流出 - 車検チェーン店
放課後児童クラブでメール誤送信 - 個人情報印刷時に第三者へ
5支店で個人情報含む伝票を紛失、誤廃棄の可能性 - 興能信金
サポート詐欺で遠隔操作ツールをインストール - 和歌山の休日診療所
「GitLab」に複数の脆弱性 - アップデートで修正
2026年1月開催の「JSAC2026」、参加登録がスタート