Libxml2 XML外部实体注入漏洞CVE-2024-40896

Libxml2是一个开源、高性能且应用广泛的XML解析库，作为一个跨平台库，是XML的C语言版的解析器、基于MIT License免费开源软件。

Libxml2具有强大的兼容性和高效的性能，除支持C语言版外，还支持C++、PHP、Pascal、Ruby、Tcl等语言的绑定，兼容多种操作系统。

一、基本情况

Libxml2基于标准ANSI C库完成，提供丰富API接口，支持XML文档读取、创建、修改、验证和查询等功能，提供强大XPath和XSLT支持。

Libxml2能够解析XML文档，并将其转换为树状的内存结构，使得程序员可以轻松遍历和操作，功能相当强大的，可以满足一般用户需求。

Llibxml2是广泛使用的XML解析库，因高效可靠解析能力而被众多开发环境所采用，能在Windows、Linux、Solaris、MacOsX平台运行。

栋科技漏洞库关注到Libxml2解析库中存在一个XML外部实体注入漏洞，该漏洞被追踪为CVE-2024-40896，该漏洞的CVSS评分达到9.1。

二、漏洞分析

CVE-2024-40896漏洞存在于Libxml2解析库的SAX解析器中，可能导致攻击者能够发起经典的XML外部实体（XXE）攻击，导致信泄露。

该漏洞影响版本包括2.11（2.11.9之前）、2.12（2.12.9之前）和2.13（2.13.3之前），厂商已发布最新版本（2.11.9、2.12.9或2.13.3）。

该漏洞源于Libxml2受影响版本中的SAX 解析器在处理外部实体时，可能会无意中暴露外部实体，即使开发者试图通过某种方式覆盖它们。

开发者的覆盖方式可理解为开发者在自定义的 SAX 处理器中，尝试通过某种方式（例如设置“checked”）来控制或覆盖外部实体的加载。

尽管如此，解析器仍会触发与外部实体相关的事件，攻击者仍可通过向目标XML解析器提供包含外部实体引用的恶意XML输入利用漏洞。

攻击者通过经典XML外部实体（XXE）攻击，利用可能导致信息泄露（如访问文件系统的敏感文件）、拒绝服务或执行其他未授权操作。

该漏洞的严重性在于其绕过了预期的保护机制，使得开发者难以识别和缓解应用中的问题，从而使得攻击者可利用该漏洞访问敏感信息。

该漏洞可能导致系统文件（例如/etc/passwd）和用户凭证泄露、或者导致远程代码执行（RCE）的发生，使得攻击者可以完全控制系统。

当然，该漏洞还可能导致因耗尽系统资源而触发拒绝服务（DoS）攻击，因此建议用户和开发者被强烈建议立即更新Libxml2至最新版本。

三、影响范围

2.11 <= libxml2 < 2.11.9

2.12 <= libxml2 < 2.12.9

2.13 <= libxml2 < 2.13.3

四、修复建议

目前该漏洞已经修复，受影响用户可升级到以下版本：

libxml2 2.11.x >= 2.11.9

libxml2 2.12.x >= 2.12.9

libxml2 2.13.x >= 2.13.3

五、参考链接

此处内容已隐藏，评论后刷新即可查看！