Vulnérabilités dans libxslt (implémentation du langage XML)
Date de publication :
De multiples vulnérabilités ont été découvertes dans libxslt, implémentation du langage de transformation XML. Un attaquant distant exploitant cette vulnérabilité peut causer un plantage du programme (déni de service), voire obtenir des informations sensibles contenues en mémoire.
CVE-2019-13117 [Score CVSS v3 : 7.5] : Une vulnérabilité liée à une mauvaise validation des entrées utilisateur a été découverte dans libxslt. Un attaquant distant exploitant cette vulnérabilité peut obtenir des informations sensibles contenues en mémoire via l’utilisation d’une entrée spécialement conçue destinée à la fonction xsltNumberFormatInsertNumbers.
CVE-2019-13118 [Score CVSS v3 : 7.5] : Une vulnérabilité liée à une mauvaise validation des entrées utilisateur a été découverte dans libxslt. Un attaquant distant exploitant cette vulnérabilité peut obtenir des informations sensibles contenues en mémoire via l’utilisation d’une entrée spécialement conçue destinée à la fonction xsltNumberFormatDecimal.
CVE-2019-18197 [Score CVSS v3 : 7.5] : Une vulnérabilité de type “use-after-free” a été découverte dans libxslt. Un attaquant distant exploitant cette vulnérabilité peut obtenir des informations sensibles voire écrire des informations au delà d’un tampon alloué, menant potentiellement à un déni de service par un plantage du programme.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Fuite d’informations sensibles
Déni de service
Criticité
Score CVSS v3 : 7.5
Existence d’un code d’exploitation
Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
libxslt version 1.1.33
CVE
CVE-2019-13117
CVE-2019-13118
CVE-2019-18197
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour libxslt vers une version supérieure à 1.1.33
Solution de contournement
Aucune solution de contournement n’est disponible