CVE-2024-40896 (CVSS 9.1)：libxml2 中发现严重 XXE 漏洞

广泛使用的 XML 解析库 libxml2 中新发现的一个缺陷可能允许攻击者破坏系统并窃取敏感数据。

libxml2 是一个用 C 语言编写的强大的 XML 解析库。它与各种编程语言（包括 C++、Python 和 Ruby）的绑定增强了其多功能性，使其成为许多开发环境中的必备工具。跨 Web 服务、数据处理甚至系统配置的应用程序都利用 libxml2 的高效、可靠的解析功能。

该漏洞被标记为 CVE-2024-40896（CVSS 9.1），严重程度评分为 9.1，影响 libxml2 2.11 至 2.11.9 之前的版本、2.12 至 2.12.9 之前的版本以及 2.13 至 2.13.3 之前的版本。该漏洞存在于库的 SAX 解析器中，即使开发人员试图覆盖外部实体，它也可能无意中暴露这些实体。这种疏忽允许攻击者发起经典的 XML 外部实体 (XXE) 攻击。

什么是 XXE 攻击？

XXE 攻击利用 XML 处理器中的漏洞来访问本地文件、执行命令，甚至发起拒绝服务攻击。在这种情况下，攻击者可以利用 libxml2 漏洞来访问敏感信息，例如系统文件（例如/etc/passwd）和潜在的用户凭据。

缺陷的严重性

此漏洞尤其令人担忧，因为：

• 它绕过了预期的保护：该缺陷源于 libxml2 中损坏的保护机制，使得开发人员难以识别和缓解其应用程序中的问题。

• 它可能造成严重后果：除了数据窃取之外，成功利用该漏洞还可能在配置错误的环境中导致远程代码执行 (RCE)，让攻击者完全控制系统。此外，攻击者还可能通过耗尽系统资源来触发拒绝服务 (DoS)。

你应该做什么？

敦促用户和开发人员立即更新到 libxml2 的最新版本（2.11.9、2.12.9 或 2.13.3）。系统管理员还应扫描其系统，查找依赖 libxml2 的潜在易受攻击的应用程序。

https://gitlab.gnome.org/GNOME/libxml2/-/releases

原文始发于微信公众号（独眼情报）：CVE-2024-40896 (CVSS 9.1)：libxml2 中发现严重 XXE 漏洞