ALT Linux Team

Package expat update in c10f2 on 2025-11-17

ALT-PU-2025-14522-2

Package expat updated to version 2.5.0-alt3 for branch c10f2 in task 400094.

Closed vulnerabilities

Published: 2024-03-14
Modified: 2025-12-03

BDU:2024-01976

Уязвимость библиотеки синтаксического анализатора XML libexpat, связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю вызвать отказ в обслуживании

Severity: HIGH (7.5) Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Severity: HIGH (7.8) Vector: AV:N/AC:L/Au:N/C:N/I:N/A:C
References:
Published: 2024-06-04
Modified: 2025-12-03

BDU:2024-04334

Уязвимость библиотеки для анализа XML-файлов libexpat, связанная с неправильным ограничением рекурсивных ссылок на объекты в DTD, позволяющая нарушителю вызвать отказ в обслуживании

Severity: MEDIUM (5.1) Vector: AV:L/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Severity: MEDIUM (4.0) Vector: AV:L/AC:H/Au:N/C:N/I:N/A:C
References:
Published: 2024-09-13
Modified: 2025-12-03

BDU:2024-07004

Уязвимость библиотеки для анализа XML-файлов libexpat, связанная с неправильным ограничением ссылки на внешнюю сущность XML, позволяющая нарушителю выполнить произвольный код

Severity: CRITICAL (9.8) Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Severity: CRITICAL (10.0) Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C
References:
Published: 2024-09-23
Modified: 2025-12-03

BDU:2024-07376

Уязвимость функции nextScaffoldPart() (xmlparse.c) библиотеки для анализа XML-файлов libexpat, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Severity: CRITICAL (9.8) Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Severity: CRITICAL (10.0) Vector: AV:N/AC:L/Au:N/C:C/I:C/A:C
References:
Published: 2024-02-04
Modified: 2025-11-04

CVE-2023-52426

libexpat through 2.5.0 allows recursive XML Entity Expansion if XML_DTD is undefined at compile time.

Severity: MEDIUM (5.5) Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
References:
Published: 2024-03-10
Modified: 2025-11-04

CVE-2024-28757

libexpat through 2.6.1 allows an XML Entity Expansion attack when there is isolated use of external parsers (created via XML_ExternalEntityParserCreate).

Severity: HIGH (7.5) Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
References:
Published: 2024-08-30
Modified: 2025-11-04

CVE-2024-45490

An issue was discovered in libexpat before 2.6.3. xmlparse.c does not reject a negative length for XML_ParseBuffer.

Severity: HIGH (7.5) Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
References:
Published: 2024-08-30
Modified: 2025-11-04

CVE-2024-45492

An issue was discovered in libexpat before 2.6.3. nextScaffoldPart in xmlparse.c can have an integer overflow for m_groupSize on 32-bit platforms (where UINT_MAX equals SIZE_MAX).

Severity: CRITICAL (9.8) Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
References:
VKontakte | Telegram | YouTube | Forum | GitHub | Bugzilla
Version: 2.1.2
Back to top