一、 漏洞 CVE-2025-7425 基础信息
漏洞信息
# Libxslt:由xmlattrptr中的atype损坏引起的libxslt堆使用后释放漏洞
## 漏洞概述
libxslt 中存在一个漏洞,导致内部内存管理被破坏。该漏洞影响 XSLT 函数,如 `key()` 处理过程中生成的树片段,导致 ID 属性无法正确清理,最终可能导致系统访问已释放的内存,造成崩溃或堆内存损坏。
## 影响版本
无具体影响版本信息
## 漏洞细节
在处理某些 XSLT 函数(例如 `key()`)时,libxslt 库中的 `atype` 属性类型标志被修改,导致内部内存管理受损。当执行 `key()` 等函数生成树片段时,这种内存管理破坏使得 ID 属性无法正确清理。这会导致系统访问已释放的内存,从而引起程序崩溃或堆内存损坏。
## 影响
该漏洞可能导致以下问题:
- 系统访问已释放的内存
- 程序崩溃
- 堆内存损坏
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Libxslt: heap use-after-free in libxslt caused by atype corruption in xmlattrptr
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A flaw was found in libxslt where the attribute type, atype, flags are modified in a way that corrupts internal memory management. When XSLT functions, such as the key() process, result in tree fragments, this corruption prevents the proper cleanup of ID attributes. As a result, the system may access freed memory, causing crashes or enabling attackers to trigger heap corruption.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
释放后使用
来源:美国国家漏洞数据库 NVD
漏洞标题
Libxslt 资源管理错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Libxslt是Libxslt开源的一个为 GNOME 项目开发的 XSLT C 库。 Libxslt存在安全漏洞,该漏洞源于属性类型atype和标志修改不当,可能导致内存管理损坏和堆损坏。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
资源管理错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-7425 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-7425 的情报信息
-
-
-
标题: 2379274 – (CVE-2025-7425) CVE-2025-7425 libxslt: Heap Use-After-Free in libxslt caused by atype corruption in xmlAttrPtr -- 🔗来源链接
标签: issue-tracking x_refsource_REDHAT
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-7425