Куда я попал?
CVE-2024-8176
PUBLISHED
15.04.2025
CNA: redhat
Libexpat: expat: improper restriction of xml entity expansion depth in libexpat
Обновлено:
15.04.2025
A stack overflow vulnerability exists in the libexpat library due to the way it handles recursive entity expansion in XML documents. When parsing an XML document with deeply nested entity references, libexpat can be forced to recurse indefinitely, exhausting the stack space and causing a crash. This issue could lead to denial of service (DoS) or, in some cases, exploitable memory corruption, depending on the environment and library usage.
CWE
| Идентификатор | Описание |
|---|---|
| CWE-674 | CWE-674 Uncontrolled Recursion |
БДУ ФСТЭК
| Идентификатор | Описание |
|---|---|
| BDU:2025-04573 | Уязвимость библиотеки для анализа XML-файлов libexpat, связанная с переполнением буфера в стеке, позволяющая нарушителю выполнить произвольный код на целевой системе |
НКЦКИ уязвимости
Бюллетени НКЦКИ - уязвимости ПО
| Идентификатор | Дата бюллетеня | Описание |
|---|---|---|
| VULN:20250317-6 | 17.03.2025 | Выполнение произвольного кода в libexpat |
| VULN:20250416-45 | 16.04.2025 | Выполнение произвольного кода в Oracle Linux |
CVSS
| Оценка | Severity | Версия | Базовый вектор |
|---|---|---|---|
| 7.5 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Доп. Информация
Product Status
| Red Hat Enterprise Linux 8 | |||||
|---|---|---|---|---|---|
| Product: | Red Hat Enterprise Linux 8 | ||||
| Vendor: | Red Hat | ||||
| Default status: | affected | ||||
| Версии: |
|
||||
| СPE: |
|
||||
| Red Hat Enterprise Linux 9 | |||||
|---|---|---|---|---|---|
| Product: | Red Hat Enterprise Linux 9 | ||||
| Vendor: | Red Hat | ||||
| Default status: | affected | ||||
| Версии: |
|
||||
| СPE: |
|
||||
| Red Hat Enterprise Linux 9 | |||||
|---|---|---|---|---|---|
| Product: | Red Hat Enterprise Linux 9 | ||||
| Vendor: | Red Hat | ||||
| Default status: | affected | ||||
| Версии: |
|
||||
| СPE: |
|
||||
| DevWorkspace Operator 0.33 | |||||
|---|---|---|---|---|---|
| Product: | DevWorkspace Operator 0.33 | ||||
| Vendor: | Red Hat | ||||
| Default status: | affected | ||||
| Версии: |
|
||||
| СPE: |
|
||||
| Red Hat Enterprise Linux 6 | |
|---|---|
| Product: | Red Hat Enterprise Linux 6 |
| Vendor: | Red Hat |
| Default status: | unknown |
| СPE: |
|
| Red Hat Enterprise Linux 6 | |
|---|---|
| Product: | Red Hat Enterprise Linux 6 |
| Vendor: | Red Hat |
| Default status: | unknown |
| СPE: |
|
| Red Hat Enterprise Linux 7 | |
|---|---|
| Product: | Red Hat Enterprise Linux 7 |
| Vendor: | Red Hat |
| Default status: | unknown |
| СPE: |
|
| Red Hat Enterprise Linux 7 | |
|---|---|
| Product: | Red Hat Enterprise Linux 7 |
| Vendor: | Red Hat |
| Default status: | unknown |
| СPE: |
|
| Red Hat Enterprise Linux 7 | |
|---|---|
| Product: | Red Hat Enterprise Linux 7 |
| Vendor: | Red Hat |
| Default status: | unknown |
| СPE: |
|
| Red Hat Enterprise Linux 8 | |
|---|---|
| Product: | Red Hat Enterprise Linux 8 |
| Vendor: | Red Hat |
| Default status: | affected |
| СPE: |
|
| Red Hat Enterprise Linux 8 | |
|---|---|
| Product: | Red Hat Enterprise Linux 8 |
| Vendor: | Red Hat |
| Default status: | affected |
| СPE: |
|
| Red Hat Enterprise Linux 8 | |
|---|---|
| Product: | Red Hat Enterprise Linux 8 |
| Vendor: | Red Hat |
| Default status: | affected |
| СPE: |
|
| Red Hat Enterprise Linux 8 | |
|---|---|
| Product: | Red Hat Enterprise Linux 8 |
| Vendor: | Red Hat |
| Default status: | affected |
| СPE: |
|
| Red Hat Enterprise Linux 8 | |
|---|---|
| Product: | Red Hat Enterprise Linux 8 |
| Vendor: | Red Hat |
| Default status: | affected |
| СPE: |
|
| Red Hat Enterprise Linux 9 | |
|---|---|
| Product: | Red Hat Enterprise Linux 9 |
| Vendor: | Red Hat |
| Default status: | affected |
| СPE: |
|
| Red Hat Enterprise Linux 9 | |
|---|---|
| Product: | Red Hat Enterprise Linux 9 |
| Vendor: | Red Hat |
| Default status: | affected |
| СPE: |
|
| Red Hat Enterprise Linux 9 | |
|---|---|
| Product: | Red Hat Enterprise Linux 9 |
| Vendor: | Red Hat |
| Default status: | affected |
| СPE: |
|
| Red Hat Enterprise Linux 9 | |
|---|---|
| Product: | Red Hat Enterprise Linux 9 |
| Vendor: | Red Hat |
| Default status: | affected |
| СPE: |
|
| Red Hat JBoss Core Services | |
|---|---|
| Product: | Red Hat JBoss Core Services |
| Vendor: | Red Hat |
| Default status: | affected |
| СPE: |
|
| Red Hat OpenShift Container Platform 4 | |
|---|---|
| Product: | Red Hat OpenShift Container Platform 4 |
| Vendor: | Red Hat |
| Default status: | affected |
| СPE: |
|
Ссылки
CISA ADP Vulnrichment
Обновлено:
14.03.2025
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.
SSVC
| Exploitation | Automatable | Technical Impact | Версия | Дата доступа |
|---|---|---|---|---|
| poc | yes | partial | 2.0.3 | 14.03.2025 |
CVE Program Container
Обновлено:
28.03.2025
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.
Ссылки
Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.