Vulnerabilidad en XZ Utils (CVE-2025-31115)
Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
03/04/2025
Última modificación:
07/04/2025
Descripción
XZ Utils proporciona una librería de compresión de datos de propósito general, además de herramientas de línea de comandos. En XZ Utils 5.3.3alpha a 5.8.0, el decodificador .xz multiproceso de liblzma presenta un error que provoca un fallo en la ejecución de una entrada no válida. Esto afecta a use after free y a la escritura en una dirección basada en el puntero nulo y un desplazamiento. Las aplicaciones y librerías que utilizan la función lzma_stream_decoder_mt se ven afectadas. El error se ha corregido en XZ Utils 5.8.1 y la corrección se ha implementado en las ramas v5.4, v5.6, v5.8 y master del repositorio Git de xz. No se crearán nuevos paquetes de versiones a partir de las ramas estables antiguas, pero existe un parche independiente disponible para todas las versiones afectadas.
Impacto
Puntuación base 4.0
8.70
Gravedad 4.0
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/tukaani-project/xz/commit/d5a2ffe41bb77b918a8c96084885d4dbe4bf6480
- https://github.com/tukaani-project/xz/security/advisories/GHSA-6cc8-p5mm-29w2
- https://tukaani.org/xz/xz-cve-2025-31115.patch
- http://www.openwall.com/lists/oss-security/2025/04/03/1
- http://www.openwall.com/lists/oss-security/2025/04/03/2
- http://www.openwall.com/lists/oss-security/2025/04/03/3