【安全资讯】libxml2发现严重XXE漏洞 CVE-2024-40896

概要：

近期，libxml2库中发现了一项严重的安全漏洞CVE-2024-40896，该漏洞的CVSS评分为9.1，可能导致攻击者入侵系统并窃取敏感数据。libxml2是一个广泛使用的XML解析库，因其高效可靠的解析能力而被众多开发环境所采用。

主要内容：

libxml2的这一漏洞影响版本包括2.11（2.11.9之前）、2.12（2.12.9之前）和2.13（2.13.3之前）。该漏洞存在于库的SAX解析器中，可能无意中暴露外部实体，即使开发者试图覆盖它们。这一缺陷使得攻击者能够发起经典的XML外部实体（XXE）攻击。

XXE攻击利用XML处理器中的漏洞，访问本地文件、执行命令，甚至发起拒绝服务攻击。在此情况下，攻击者可以利用libxml2的漏洞访问敏感信息，如系统文件（例如/etc/passwd）和用户凭证。

该漏洞的严重性在于其绕过了预期的保护机制，导致开发者难以识别和缓解应用中的问题。此外，成功利用该漏洞可能导致远程代码执行（RCE），使攻击者完全控制系统，甚至通过耗尽系统资源触发拒绝服务（DoS）攻击。

用户和开发者被强烈建议立即更新libxml2至最新版本（2.11.9、2.12.9或2.13.3），系统管理员也应扫描其系统中可能依赖libxml2的易受攻击应用。