一、 漏洞 CVE-2024-40896 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在 libxml2 2.11 版本早于 2.11.9,2.12 版本早于 2.12.9 以及 2.13 版本早于 2.13.3 中,SAX 解析器可能为外部实体产生事件,即使自定义的 SAX 处理程序尝试通过设置 "checked" 来覆盖实体内容。这使得经典的 XXE(XML 外部实体)攻击成为可能。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
XML外部实体引用的不恰当限制(XXE)
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In libxml2 2.11 before 2.11.9, 2.12 before 2.12.9, and 2.13 before 2.13.3, the SAX parser can produce events for external entities even if custom SAX handlers try to override entity content (by setting "checked"). This makes classic XXE attacks possible.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
XML外部实体引用的不恰当限制(XXE)
来源:美国国家漏洞数据库 NVD
漏洞标题
libxml2 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
libxml2是GNOME开源的一个用来解析XML文档的函数库。它用C语言写成,并且能为多种语言所调用,例如C语言,C++,XSH。 libxml2存在安全漏洞。攻击者利用该漏洞可以将恶意 XML 数据传输到 libxml2,以读取文件、扫描站点或触发拒绝服务。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-40896 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2024-40896 的情报信息
-
标题: [CVE-2024-40896] XXE protection broken in downstream code (#761) · Issues · GNOME / libxml2 · GitLab -- 🔗来源链接
标签:
![[CVE-2024-40896] XXE protection broken in downstream code (#761) · Issues · GNOME / libxml2 · GitLab](https://h.imfht.com:8082/2025-01-25/screenshot-viewport-2025-01-25T20-54-23.771Z-b04117cc4475ffe10701.webp)
-
标题: [CVE-2024-40896] Fix XXE protection in downstream code (1a893230) · Commits · GNOME / libxml2 · GitLab -- 🔗来源链接
标签:
![[CVE-2024-40896] Fix XXE protection in downstream code (1a893230) · Commits · GNOME / libxml2 · GitLab](https://h.imfht.com:8082/2025-01-25/screenshot-viewport-2025-01-25T20-54-24.147Z-9914f3d170030eeb48a3.webp)
- https://nvd.nist.gov/vuln/detail/CVE-2024-40896