Libxml2: unbounded relaxng include recursion leading to stack overflow 漏洞信息(CVE-2026-0989)

一、漏洞 CVE-2026-0989 基础信息

漏洞信息

                                        # Libxml2 relaxng 包含栈溢出漏洞

## 概述
libxml2 的 RelaxNG 解析器在处理外部模式包含时存在缺陷，未对嵌套 `<include>` 指令的包含深度设置限制。

## 影响版本
未明确指定具体版本，涉及使用 RelaxNG 外部模式包含功能的 libxml2 版本。

## 细节
解析器在处理 RelaxNG 模式时，未对 `<include>` 元素的嵌套深度进行限制。攻击者可构造包含深层或循环嵌套 `<include>` 的模式文件，导致解析过程中产生过度递归。

## 影响
过度递归可导致栈空间耗尽，引发应用程序崩溃，造成拒绝服务（DoS）。

神龙判断

是否为 Web 类漏洞： 未知

判断理由：

N/A

提示

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Libxml2: unbounded relaxng include recursion leading to stack overflow

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A flaw was identified in the RelaxNG parser of libxml2 related to how external schema inclusions are handled. The parser does not enforce a limit on inclusion depth when resolving nested <include> directives. Specially crafted or overly complex schemas can cause excessive recursion during parsing. This may lead to stack exhaustion and application crashes, creating a denial-of-service risk.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

未经控制的递归

来源：美国国家漏洞数据库 NVD

漏洞标题

libxml2 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

libxml2是GNOME开源的一个用来解析XML文档的函数库。它用C语言写成，并且能为多种语言所调用，例如C语言，C++，XSH。 libxml2存在安全漏洞，该漏洞源于RelaxNG解析器在处理外部模式包含时未对包含深度进行限制，可能导致解析特制或过于复杂的模式时造成堆栈耗尽和应用程序崩溃。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2026-0989 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2026-0989 的情报信息

https://access.redhat.com/security/cve/CVE-2026-0989vdb-entryx_refsource_REDHAT

标题： 2429933 – (CVE-2026-0989) CVE-2026-0989 libxml2: Unbounded RelaxNG Include Recursion Leading to Stack Overflow -- 🔗来源链接

标签：issue-trackingx_refsource_REDHAT

神龙速读：

                                        ### 关键漏洞信息

- **CVE编号**: CVE-2026-0989
- **Bug ID**: 2429933
- **漏洞类型**: Uncontrolled recursion
- **组件**: libxml2
- **影响**: Stack overflow and application crash, leading to denial of service
- **根本原因**: Absence of limits on recursive `<include>` directive resolution in libxml2's RelaxNG include handling logic
- **受影响的环境**: Linux systems using libxml2
- **报告日期**: 2026-01-15 12:53 UTC
- **修改日期**: 2026-01-15 13:48 UTC

### 关键描述

- **问题描述**: Uncontrolled recursion vulnerability in the RelaxNG include handling logic of the libxml2 XML parsing library. Processing deeply nested chains of included RelaxNG schema files leads to unbounded recursion, depleting the system call stack and causing a stack overflow and application crash, resulting in a denial of service.

### 附加信息

- **相关Bug编号**: 2429936, 2429937, 2429938, 2429939, 2429940, 2429941, 2429942, 2429943, 2429944, 2429945, 2429946, 2429947
- **状态**: NEW
- **优先级**: Low
- **严重性**: Low

2429933 – (CVE-2026-0989) CVE-2026-0989 libxml2: Unbounded RelaxNG Include Recursion Leading to Stack Overflow

https://nvd.nist.gov/vuln/detail/CVE-2026-0989

四、漏洞 CVE-2026-0989 的评论

暂无评论

支持本站 — 捐款将帮助我们持续运营

一、漏洞 CVE-2026-0989 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2026-0989 的公开POC

三、漏洞 CVE-2026-0989 的情报信息

四、漏洞 CVE-2026-0989 的评论

发表评论

支持本站 — 捐款将帮助我们持续运营

一、 漏洞 CVE-2026-0989 基础信息

漏洞信息

神龙判断

提示

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2026-0989 的公开POC

三、漏洞 CVE-2026-0989 的情报信息

四、漏洞 CVE-2026-0989 的评论

发表评论

一、漏洞 CVE-2026-0989 基础信息