「libxml2」にXXE脆弱性 - 利用アプリに影響

「XML」のパーサー機能などを提供するライブラリ「libxml2」に脆弱性が明らかとなった。同ライブラリを用いるアプリケーションにおいて影響を受けるおそれがある。

XML外部実体参照（XXE）の脆弱性「CVE-2024-40896」が明らかとなったもの。細工したXML文書などを処理することで、認証なしにリモートから悪用できるとしている。

「SAXパーサー」の動作に起因し、「カスタムSAXハンドラ」がエンティティの内容を上書きしようとした際、外部エンティティ関連のイベントを生成できるとしている。

米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.1」と評価。重要度を4段階中もっとも高い「クリティカル（Critical）」とレーティングしている。

同脆弱性に関しては、現地時間7月24日にリリースされた「libxml2 2.13.3」「同2.12.9」「同2.11.9」にて修正されており、アップデートが呼びかけられている。

（Security NEXT - 2024/12/27 ） ツイート

PR

関連記事

保育所で卒園児情報含むUSBメモリが所在不明 - 北九州市
「IBM AIX」のNIM関連機能に深刻な脆弱性 - アップデートで修正
サカタのタネにサイバー攻撃 - 侵入痕跡を確認
ネットワークにサイバー攻撃、情報流出の可能性も - 広島工業大
「MS Edge」にアップデート - 「V8」の脆弱性を解消
先週注目された記事（2025年11月9日〜2025年11月15日）
米当局、「FortiWeb」の脆弱性悪用に注意喚起
「FortiWeb」に深刻な脆弱性 - すでに攻撃も
アスクル子会社の受託物流サービス、取引先情報流出の可能性
「ぶちエコサポーター」研修会の参加者宛メールで誤送信 - 山口県