Vulnerabilidad en libxml2 (CVE-2024-56171)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-416
Utilización después de liberación
Fecha de publicación:
18/02/2025
Última modificación:
16/10/2025
Descripción
libxml2 antes de 2.12.10 y 2.13.x antes de 2.13.6 tiene un use-after-free en xmlschemaidcfillNodetable y xmlschemabubbleIdcnodetable en xmlschemas.c. Para explotar esto, un documento XML manipulado debe validarse contra un esquema XML con ciertas restricciones de identidad manipulado El esquema XML manipulado debe usarse.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:xmlsoft:libxml2:*:*:*:*:*:*:*:* | 2.12.10 (excluyendo) | |
| cpe:2.3:a:xmlsoft:libxml2:*:*:*:*:*:*:*:* | 2.13.0 (incluyendo) | 2.13.6 (excluyendo) |
| cpe:2.3:o:netapp:hci_compute_node:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:hci_compute_node:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:netapp:h410c_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:h410c:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:netapp:h300s_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:h300s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:netapp:h500s_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:h500s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:netapp:h700s_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:h700s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:o:netapp:h410s_firmware:-:*:*:*:*:*:*:* | ||
| cpe:2.3:h:netapp:h410s:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:active_iq_unified_manager:-:*:*:*:*:vsphere:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página