Vulnérabilités dans libxslt (implémentation du langage XML)
Date de publication :
De multiples vulnérabilités ont été découvertes dans libxslt, implémentation du langage de transformation XML. Un attaquant distant exploitant cette vulnérabilité peut causer un plantage du programme (déni de service), voire obtenir des informations sensibles contenues en mémoire.
CVE-2019-13117 [Score CVSS v3 : 7.5] : Une vulnérabilité liée à une mauvaise validation des entrées utilisateur a été découverte dans libxslt. Un attaquant distant exploitant cette vulnérabilité peut obtenir des informations sensibles contenues en mémoire via l’utilisation d’une entrée spécialement conçue destinée à la fonction xsltNumberFormatInsertNumbers.
CVE-2019-13118 [Score CVSS v3 : 7.5] : Une vulnérabilité liée à une mauvaise validation des entrées utilisateur a été découverte dans libxslt. Un attaquant distant exploitant cette vulnérabilité peut obtenir des informations sensibles contenues en mémoire via l’utilisation d’une entrée spécialement conçue destinée à la fonction xsltNumberFormatDecimal.
CVE-2019-18197 [Score CVSS v3 : 7.5] : Une vulnérabilité de type “use-after-free” a été découverte dans libxslt. Un attaquant distant exploitant cette vulnérabilité peut obtenir des informations sensibles voire écrire des informations au delà d’un tampon alloué, menant potentiellement à un déni de service par un plantage du programme.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Fuite d’informations sensibles
- Déni de service
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
- libxslt version 1.1.33
CVE
- CVE-2019-13117
- CVE-2019-13118
- CVE-2019-18197
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour libxslt vers une version supérieure à 1.1.33
Solution de contournement
Aucune solution de contournement n’est disponible