ALT-PU-2017-1240-2

BDU:2016-00572

MEDIUM4.3

Уязвимость библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2016-03-17Изменено: 2021-03-23

CVSS 2.0СРЕДНЯЯ 4.3

CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:N/A:P

Ссылки

CVE-2016-2073

BDU:2016-00846

CRITICAL10.0

Уязвимость браузера Safari, операционных систем Mac OS X и iOS, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Опубликовано: 2016-04-06Изменено: 2025-12-19

CVSS 2.0КРИТИЧЕСКАЯ 10.0

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C

Ссылки

BDU:2016-01376

HIGH7.3

Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Опубликовано: 2016-06-09Изменено: 2024-11-28

CVSS 3.xВЫСОКАЯ 7.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P

Ссылки

BDU:2016-01377

HIGH7.3

Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Опубликовано: 2016-06-09Изменено: 2024-11-28

CVSS 3.xВЫСОКАЯ 7.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P

Ссылки

BDU:2016-01378

HIGH7.3

Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Опубликовано: 2016-06-09Изменено: 2024-11-28

CVSS 3.xВЫСОКАЯ 7.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P

Ссылки

BDU:2016-01379

HIGH7.3

Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Опубликовано: 2016-06-09Изменено: 2024-11-28

CVSS 3.xВЫСОКАЯ 7.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P

Ссылки

BDU:2016-01380

HIGH7.3

Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Опубликовано: 2016-06-09Изменено: 2024-11-28

CVSS 3.xВЫСОКАЯ 7.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P

Ссылки

BDU:2016-01381

HIGH7.3

Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Опубликовано: 2016-06-09Изменено: 2024-11-28

CVSS 3.xВЫСОКАЯ 7.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P

Ссылки

BDU:2016-01382

HIGH7.3

Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Опубликовано: 2016-06-09Изменено: 2025-12-05

CVSS 3.xВЫСОКАЯ 7.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS 2.0СРЕДНЯЯ 6.8

CVSS:2.0/AV:N/AC:M/Au:N/C:P/I:P/A:P

Ссылки

BDU:2016-01383

HIGH7.3

Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Опубликовано: 2016-06-09Изменено: 2024-11-28

CVSS 3.xВЫСОКАЯ 7.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

CVSS 2.0СРЕДНЯЯ 6.8

CVSS:2.0/AV:N/AC:M/Au:N/C:P/I:P/A:P

Ссылки

BDU:2016-01650

MEDIUM5.0

Уязвимость библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2016-07-19Изменено: 2021-03-23

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

Ссылки

BDU:2018-00090

CRITICAL9.8

Уязвимость макроса NEXTL парсера xml-файлов (parser.c) библиотеки libxml2, позволяющая нарушителю внедрить XML-сущности

Опубликовано: 2018-01-24Изменено: 2021-03-23

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P

Ссылки

CVE-2017-16931

BDU:2018-01270

HIGH7.5

Уязвимость функций xmlParserEntityCheck и xmlParseAttValueComplex библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2018-10-30Изменено: 2024-11-28

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2016-3705

BDU:2018-01271

HIGH7.5

Уязвимость функции xmlStringGetNodeList библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2018-10-30Изменено: 2024-11-28

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2016-3627

BDU:2018-01272

HIGH7.3

Уязвимость функции xmlStringLenDecodeEntities (parser.c) библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании или раскрыть защищаемую информацию

Опубликовано: 2018-10-30Изменено: 2024-11-28

CVSS 3.xВЫСОКАЯ 7.3

CVSS:3.x/AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:A/AC:L/Au:N/C:C/I:N/A:C

Ссылки

CVE-2016-4449

BDU:2019-00235

CRITICAL9.8

Уязвимость компонента xmlParsePEReference библиотеки для работы с XML и HTML файлами libxml2, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

Опубликовано: 2019-01-23Изменено: 2021-03-23

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P

Ссылки

CVE-2017-7375

BDU:2021-03125

CRITICAL9.8

Уязвимость библиотеки libxml2 операционных систем iPhoneOS, tvOS, watchOS, macOS, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Опубликовано: 2021-06-23

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0КРИТИЧЕСКАЯ 10.0

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C

Ссылки

CVE-2016-4658

BDU:2023-00219

HIGH7.5

Уязвимость компонента parser.c библиотеки Libxml2, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2023-01-20Изменено: 2025-10-24

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2017-16932

CVE-2015-8806

HIGH7.5

dict.c in libxml2 allows remote attackers to cause a denial of service (heap-based buffer over-read and application crash) via an unexpected character immediately after the "
Опубликовано: 2016-04-13Изменено: 2025-04-12
CVSS 2.0СРЕДНЯЯ 5.0
`CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P`
CVSS 3.xВЫСОКАЯ 7.5
`CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H`
Ссылки
http://www.openwall.com/lists/oss-security/2016/02/03/5
http://www.oracle.com/technetwork/topics/security/bulletinjul2016-3090568.html
http://www.securityfocus.com/bid/82071
http://www.ubuntu.com/usn/USN-2994-1
https://bugzilla.gnome.org/show_bug.cgi?id=749115
https://security.gentoo.org/glsa/201701-37
https://www.debian.org/security/2016/dsa-3593
http://www.openwall.com/lists/oss-security/2016/02/03/5
http://www.oracle.com/technetwork/topics/security/bulletinjul2016-3090568.html
http://www.securityfocus.com/bid/82071
http://www.ubuntu.com/usn/USN-2994-1
https://bugzilla.gnome.org/show_bug.cgi?id=749115
https://security.gentoo.org/glsa/201701-37
https://www.debian.org/security/2016/dsa-3593

CVE-2016-1762

HIGH8.1

The xmlNextChar function in libxml2 before 2.9.4 allows remote attackers to cause a denial of service (heap-based buffer over-read) via a crafted XML document.

Опубликовано: 2016-03-24Изменено: 2025-12-17

CVSS 2.0СРЕДНЯЯ 5.8

CVSS:2.0/AV:N/AC:M/Au:N/C:P/I:N/A:P

CVSS 3.xВЫСОКАЯ 8.1

CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H

Ссылки

CVE-2016-1833

MEDIUM5.5

The htmlCurrentChar function in libxml2 before 2.9.4, as used in Apple iOS before 9.3.2, OS X before 10.11.5, tvOS before 9.2.1, and watchOS before 2.2.1, allows remote attackers to cause a denial of service (heap-based buffer over-read) via a crafted XML document.

Опубликовано: 2016-05-20Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 4.3

CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:N/A:P

CVSS 3.xСРЕДНЯЯ 5.5

CVSS:3.x/CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Ссылки

CVE-2016-1834

HIGH7.8

Heap-based buffer overflow in the xmlStrncat function in libxml2 before 2.9.4, as used in Apple iOS before 9.3.2, OS X before 10.11.5, tvOS before 9.2.1, and watchOS before 2.2.1, allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted XML document.

Опубликовано: 2016-05-20Изменено: 2025-12-04

CVSS 2.0КРИТИЧЕСКАЯ 9.3

CVSS:2.0/AV:N/AC:M/Au:N/C:C/I:C/A:C

CVSS 3.xВЫСОКАЯ 7.8

CVSS:3.x/CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Ссылки

CVE-2016-1835

HIGH8.8

Use-after-free vulnerability in the xmlSAX2AttributeNs function in libxml2 before 2.9.4, as used in Apple iOS before 9.3.2 and OS X before 10.11.5, allows remote attackers to cause a denial of service via a crafted XML document.

Опубликовано: 2016-05-20Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 6.8

CVSS:2.0/AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Ссылки

CVE-2016-1836

MEDIUM5.5

Use-after-free vulnerability in the xmlDictComputeFastKey function in libxml2 before 2.9.4, as used in Apple iOS before 9.3.2, OS X before 10.11.5, tvOS before 9.2.1, and watchOS before 2.2.1, allows remote attackers to cause a denial of service via a crafted XML document.

Опубликовано: 2016-05-20Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 4.3

CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:N/A:P

CVSS 3.xСРЕДНЯЯ 5.5

CVSS:3.x/CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Ссылки

CVE-2016-1837

MEDIUM5.5

Multiple use-after-free vulnerabilities in the (1) htmlPArsePubidLiteral and (2) htmlParseSystemiteral functions in libxml2 before 2.9.4, as used in Apple iOS before 9.3.2, OS X before 10.11.5, tvOS before 9.2.1, and watchOS before 2.2.1, allow remote attackers to cause a denial of service via a crafted XML document.

Опубликовано: 2016-05-20Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 4.3

CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:N/A:P

CVSS 3.xСРЕДНЯЯ 5.5

CVSS:3.x/CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Ссылки

CVE-2016-1838

MEDIUM5.5

The xmlPArserPrintFileContextInternal function in libxml2 before 2.9.4, as used in Apple iOS before 9.3.2, OS X before 10.11.5, tvOS before 9.2.1, and watchOS before 2.2.1, allows remote attackers to cause a denial of service (heap-based buffer over-read) via a crafted XML document.

Опубликовано: 2016-05-20Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 4.3

CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:N/A:P

CVSS 3.xСРЕДНЯЯ 5.5

CVSS:3.x/CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Ссылки

CVE-2016-1839

MEDIUM5.5

The xmlDictAddString function in libxml2 before 2.9.4, as used in Apple iOS before 9.3.2, OS X before 10.11.5, tvOS before 9.2.1, and watchOS before 2.2.1, allows remote attackers to cause a denial of service (heap-based buffer over-read) via a crafted XML document.

Опубликовано: 2016-05-20Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 4.3

CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:N/A:P

CVSS 3.xСРЕДНЯЯ 5.5

CVSS:3.x/CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Ссылки

CVE-2016-1840

HIGH7.8

Heap-based buffer overflow in the xmlFAParsePosCharGroup function in libxml2 before 2.9.4, as used in Apple iOS before 9.3.2, OS X before 10.11.5, tvOS before 9.2.1, and watchOS before 2.2.1, allows remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted XML document.

Опубликовано: 2016-05-20Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 6.8

CVSS:2.0/AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 3.xВЫСОКАЯ 7.8

CVSS:3.x/CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Ссылки

CVE-2016-2073

MEDIUM6.5

The htmlParseNameComplex function in HTMLparser.c in libxml2 allows attackers to cause a denial of service (out-of-bounds read) via a crafted XML document.

Опубликовано: 2016-02-12Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 4.3

CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:N/A:P

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Ссылки

CVE-2016-3627

HIGH7.5

The xmlStringGetNodeList function in tree.c in libxml2 2.9.3 and earlier, when used in recovery mode, allows context-dependent attackers to cause a denial of service (infinite recursion, stack consumption, and application crash) via a crafted XML document.

Опубликовано: 2016-05-17Изменено: 2025-12-04

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки

CVE-2016-3705

HIGH7.5

The (1) xmlParserEntityCheck and (2) xmlParseAttValueComplex functions in parser.c in libxml2 2.9.3 do not properly keep track of the recursion depth, which allows context-dependent attackers to cause a denial of service (stack consumption and application crash) via a crafted XML document containing a large number of nested entity references.

Опубликовано: 2016-05-17Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки

CVE-2016-4449

HIGH7.1

XML external entity (XXE) vulnerability in the xmlStringLenDecodeEntities function in parser.c in libxml2 before 2.9.4, when not in validating mode, allows context-dependent attackers to read arbitrary files or cause a denial of service (resource consumption) via unspecified vectors.

Опубликовано: 2016-06-09Изменено: 2025-04-12

CVSS 2.0СРЕДНЯЯ 5.8

CVSS:2.0/AV:N/AC:M/Au:N/C:P/I:N/A:P

CVSS 3.xВЫСОКАЯ 7.1

CVSS:3.x/CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H

Ссылки

CVE-2016-4483

HIGH7.5

The xmlBufAttrSerializeTxtContent function in xmlsave.c in libxml2 allows context-dependent attackers to cause a denial of service (out-of-bounds read and application crash) via a non-UTF-8 attribute value, related to serialization. NOTE: this vulnerability may be a duplicate of CVE-2016-3627.

Опубликовано: 2017-04-11Изменено: 2025-04-20

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки

CVE-2016-4658

CRITICAL9.8

xpointer.c in libxml2 before 2.9.5 (as used in Apple iOS before 10, OS X before 10.12, tvOS before 10, and watchOS before 3, and other products) does not forbid namespace nodes in XPointer ranges, which allows remote attackers to execute arbitrary code or cause a denial of service (use-after-free and memory corruption) via a crafted XML document.

Опубликовано: 2016-09-25Изменено: 2025-04-12

CVSS 2.0КРИТИЧЕСКАЯ 10.0

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

CVE-2016-5131

HIGH8.8

Use-after-free vulnerability in libxml2 through 2.9.4, as used in Google Chrome before 52.0.2743.82, allows remote attackers to cause a denial of service or possibly have unspecified other impact via vectors related to the XPointer range-to function.

Опубликовано: 2016-07-23Изменено: 2025-12-04

CVSS 2.0СРЕДНЯЯ 6.8

CVSS:2.0/AV:N/AC:M/Au:N/C:P/I:P/A:P

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Ссылки

CVE-2016-9596

MEDIUM6.5

libxml2, as used in Red Hat JBoss Core Services and when in recovery mode, allows context-dependent attackers to cause a denial of service (stack consumption) via a crafted XML document. NOTE: this vulnerability exists because of an incorrect fix for CVE-2016-3627.

Опубликовано: 2018-08-16Изменено: 2024-11-21

CVSS 2.0СРЕДНЯЯ 4.3

CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:N/A:P

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Ссылки

CVE-2016-9598

MEDIUM6.5

libxml2, as used in Red Hat JBoss Core Services, allows context-dependent attackers to cause a denial of service (out-of-bounds read and application crash) via a crafted XML document. NOTE: this vulnerability exists because of a missing fix for CVE-2016-4483.

Опубликовано: 2018-08-16Изменено: 2024-11-21

CVSS 2.0СРЕДНЯЯ 4.3

CVSS:2.0/AV:N/AC:M/Au:N/C:N/I:N/A:P

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H

Ссылки

CVE-2017-16931

CRITICAL9.8

parser.c in libxml2 before 2.9.5 mishandles parameter-entity references because the NEXTL macro calls the xmlParserHandlePEReference function in the case of a '%' character in a DTD name.

Опубликовано: 2017-11-23Изменено: 2025-04-20

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

CVE-2017-16932

HIGH7.5

parser.c in libxml2 before 2.9.5 does not prevent infinite recursion in parameter entities.

Опубликовано: 2017-11-23Изменено: 2026-01-22

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки

CVE-2017-7375

CRITICAL9.8

A flaw in libxml2 allows remote XML entity inclusion with default parser flags (i.e., when the caller did not request entity substitution, DTD validation, external DTD subset loading, or default DTD attributes). Depending on the context, this may expose a higher-risk attack surface in libxml2 not usually reachable with default parser flags, and expose content from local files, HTTP, or FTP servers (which might be otherwise unreachable).

Опубликовано: 2018-02-19Изменено: 2025-12-03

CVSS 2.0ВЫСОКАЯ 7.5

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

GHSA-7hp2-xwpj-95jq

HIGH7.5

Denial of service or RCE from libxml2 and libxslt

Опубликовано: 2018-09-18Изменено: 2023-06-30

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки

GHSA-fr52-4hqw-p27f

CRITICAL9.8

Nokogiri does not forbid namespace nodes in XPointer ranges

Опубликовано: 2018-08-21Изменено: 2022-04-26

CVSS 3.xКРИТИЧЕСКАЯ 9.8

CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Ссылки

GHSA-x2fm-93ww-ggvx

HIGH7.5

Nokogiri gem, via libxml, is affected by DoS vulnerabilities

Опубликовано: 2022-05-13Изменено: 2023-06-10

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки

Обновление пакета libxml2 в ветке sisyphus

Закрытые проблемы (43)

Уязвимость библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость браузера Safari, операционных систем Mac OS X и iOS, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Уязвимость операционных систем iOS и Mac OS X, позволяющая нарушителю вызвать отказ в обслуживании или выполнить произвольный код

Уязвимость библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость макроса NEXTL парсера xml-файлов (parser.c) библиотеки libxml2, позволяющая нарушителю внедрить XML-сущности

Уязвимость функций xmlParserEntityCheck и xmlParseAttValueComplex библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость функции xmlStringGetNodeList библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость функции xmlStringLenDecodeEntities (parser.c) библиотеки libxml2, позволяющая нарушителю вызвать отказ в обслуживании или раскрыть защищаемую информацию

Уязвимость компонента xmlParsePEReference библиотеки для работы с XML и HTML файлами libxml2, позволяющая нарушителю выполнить произвольный код или вызвать отказ в обслуживании

Уязвимость компонента parser.c библиотеки Libxml2, позволяющая нарушителю вызвать отказ в обслуживании

The xmlNextChar function in libxml2 before 2.9.4 allows remote attackers to cause a denial of service (heap-based buffer over-read) via a crafted XML document.

The htmlCurrentChar function in libxml2 before 2.9.4, as used in Apple iOS before 9.3.2, OS X before 10.11.5, tvOS before 9.2.1, and watchOS before 2.2.1, allows remote attackers to cause a denial of service (heap-based buffer over-read) via a crafted XML document.

Use-after-free vulnerability in the xmlSAX2AttributeNs function in libxml2 before 2.9.4, as used in Apple iOS before 9.3.2 and OS X before 10.11.5, allows remote attackers to cause a denial of service via a crafted XML document.

Use-after-free vulnerability in the xmlDictComputeFastKey function in libxml2 before 2.9.4, as used in Apple iOS before 9.3.2, OS X before 10.11.5, tvOS before 9.2.1, and watchOS before 2.2.1, allows remote attackers to cause a denial of service via a crafted XML document.

The xmlPArserPrintFileContextInternal function in libxml2 before 2.9.4, as used in Apple iOS before 9.3.2, OS X before 10.11.5, tvOS before 9.2.1, and watchOS before 2.2.1, allows remote attackers to cause a denial of service (heap-based buffer over-read) via a crafted XML document.

The xmlDictAddString function in libxml2 before 2.9.4, as used in Apple iOS before 9.3.2, OS X before 10.11.5, tvOS before 9.2.1, and watchOS before 2.2.1, allows remote attackers to cause a denial of service (heap-based buffer over-read) via a crafted XML document.

The htmlParseNameComplex function in HTMLparser.c in libxml2 allows attackers to cause a denial of service (out-of-bounds read) via a crafted XML document.

The xmlStringGetNodeList function in tree.c in libxml2 2.9.3 and earlier, when used in recovery mode, allows context-dependent attackers to cause a denial of service (infinite recursion, stack consumption, and application crash) via a crafted XML document.

XML external entity (XXE) vulnerability in the xmlStringLenDecodeEntities function in parser.c in libxml2 before 2.9.4, when not in validating mode, allows context-dependent attackers to read arbitrary files or cause a denial of service (resource consumption) via unspecified vectors.

The xmlBufAttrSerializeTxtContent function in xmlsave.c in libxml2 allows context-dependent attackers to cause a denial of service (out-of-bounds read and application crash) via a non-UTF-8 attribute value, related to serialization. NOTE: this vulnerability may be a duplicate of CVE-2016-3627.

Use-after-free vulnerability in libxml2 through 2.9.4, as used in Google Chrome before 52.0.2743.82, allows remote attackers to cause a denial of service or possibly have unspecified other impact via vectors related to the XPointer range-to function.

libxml2, as used in Red Hat JBoss Core Services and when in recovery mode, allows context-dependent attackers to cause a denial of service (stack consumption) via a crafted XML document. NOTE: this vulnerability exists because of an incorrect fix for CVE-2016-3627.

libxml2, as used in Red Hat JBoss Core Services, allows context-dependent attackers to cause a denial of service (out-of-bounds read and application crash) via a crafted XML document. NOTE: this vulnerability exists because of a missing fix for CVE-2016-4483.

parser.c in libxml2 before 2.9.5 mishandles parameter-entity references because the NEXTL macro calls the xmlParserHandlePEReference function in the case of a '%' character in a DTD name.

parser.c in libxml2 before 2.9.5 does not prevent infinite recursion in parameter entities.

Denial of service or RCE from libxml2 and libxslt

Nokogiri does not forbid namespace nodes in XPointer ranges

Nokogiri gem, via libxml, is affected by DoS vulnerabilities