CVE-2024-56171 & CVE-2025-24928: Libxml2 Flaws Could Lead to Code Execution
2025/02/23 SecurityOnline — XML 解析ライブラリ Libxml2 は、GNOME プロジェクト向けに開発され、Linux/Windows/macOS/Unix ベース・システムなどの、各種プラットフォームで広範に利用されるものだ。
この Libxml2 で、脆弱性 CVE-2024-56171/CVE-2025-24928/CVE-2025-27113 が発見されたが、すでに最新リリースにより対処されている。
脆弱性の詳細
CVE-2024-56171 (CVSS 7.8):xmlSchemaIDCFillNodeTables 関数と xmlSchemaBubbleIDCNodeTables 関数に存在する、use-after-free の脆弱性。この脆弱性は、特別に細工された XML ドキュメント/スキーマの処理において悪用され、任意のコード実行の可能性を生じる。
CVE-2025-24928 (CVSS 7.8):xmlSnprintfElements 関数に存在する、スタックバッファ・オーバーフローの脆弱性。この脆弱性は、信頼できないドキュメントまたは DTD の 検証中にトリガーされ、サービス拒否/任意のコード実行を引き起こす可能性を持つ。
CVE-2025-27113 (CVSS 2.9):xmlPatMatch 関数における、NULL ポインタ参照の脆弱性。この脆弱性は、特定のオプションで Perl モジュール XML::LibXML::Reader を使用するケースや、特定のフラグで xmllint ツールを使用するケースにおいて、トリガーされる可能性を持つ。
影響
これらの脆弱性が影響を及ぼす範囲は、libxml2 のバージョン 2.12.10未満/ 2.13.6 未満となる。これらの脆弱性の悪用に成功した攻撃者は、libxml2 が使用されるコンテキストに応じて、サービス拒否から任意のコード実行にいたるまでの、さまざまなアクションを引き起こす可能性を手にする。
緩和策
libxml2 ユーザーに対して強く推奨されるのは、最新バージョンである 2.12.10/2.13.6 へ向けて速やかに更新し、これらの脆弱性に対処することだ。なお、Libxml2 の古いブランチは更新されないという。
Libxml2 は多くの OS やアプリケーションで利用されているため、今回の脆弱性は広範なシステムに影響を及ぼす可能性があります。ご利用のチームは、迅速なアップデートをご検討ください。なお、Libxml2 関連の前回の脆弱性は、2024/12/25 の「libxml2 の XXE 脆弱性 CVE-2024-40896 (CVSS 9.1) が FIX:システム侵害などの可能性」となります。よろしければ、Libxml2 で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.