支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-0990 基础信息
漏洞信息
                                        # libxml2 递归导致拒绝服务漏洞

## 概述
libxml2 库中的 `xmlCatalogXMLResolveURI` 函数存在一个因未控制递归引发的漏洞,当 XML 目录包含指向自身的 delegate URI 条目时,会触发无限递归。

## 影响版本
文中未明确列出受影响的具体版本。

## 细节
漏洞位于 `xmlCatalogXMLResolveURI` 函数,当解析的 XML 目录中存在将 URI 委托指向自身的条目时,函数会持续递归调用,无法终止。

## 影响
远程攻击者可提供特制的 XML 目录文件,利用该漏洞导致调用栈耗尽,引发段错误(segmentation fault),造成应用程序崩溃,实现拒绝服务(DoS)。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Libxml2: libxml2: denial of service via uncontrolled recursion in xml catalog processing
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A flaw was found in libxml2, an XML parsing library. This uncontrolled recursion vulnerability occurs in the xmlCatalogXMLResolveURI function when an XML catalog contains a delegate URI entry that references itself. A remote attacker could exploit this configuration-dependent issue by providing a specially crafted XML catalog, leading to infinite recursion and call stack exhaustion. This ultimately results in a segmentation fault, causing a Denial of Service (DoS) by crashing affected applications.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
未经控制的递归
来源:美国国家漏洞数据库 NVD
漏洞标题
libxml2 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
libxml2是GNOME开源的一个用来解析XML文档的函数库。它用C语言写成,并且能为多种语言所调用,例如C语言,C++,XSH。 libxml2存在安全漏洞,该漏洞源于xmlCatalogXMLResolveURI函数在XML目录包含引用自身的委托URI条目时出现不受控制的递归,可能导致远程攻击者通过特制XML目录造成无限递归和调用堆栈耗尽,引发分段违规。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2026-0990 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-0990 的情报信息
  • https://access.redhat.com/security/cve/CVE-2026-0990vdb-entryx_refsource_REDHAT

  • 标题: 2429959 – (CVE-2026-0990) CVE-2026-0990 libxml2: libxml2: Denial of Service via uncontrolled recursion in XML catalog processing -- 🔗来源链接

    标签:issue-trackingx_refsource_REDHAT

    神龙速读:
                                            ### 关键信息

- **漏洞ID**: CVE-2026-0990
- **描述**: libxml2库中的xmlCatalogXMLResolveURI函数在处理包含引用自身循环的XML目录时存在未受控递归漏洞。这导致无限递归和最终调用栈耗尽,进而引起分段错误。
- **组件**: libxml2
- **影响**: 通过允许攻击者使受影响的应用程序崩溃,主要影响可用性。
- **报告日期**: 2026-01-15
- **优先级**: 中等
- **严重程度**: 中等
- **操作系统**: Linux
    2429959 – (CVE-2026-0990) CVE-2026-0990 libxml2: libxml2: Denial of Service via uncontrolled recursion in XML catalog processing
  • https://nvd.nist.gov/vuln/detail/CVE-2026-0990
四、漏洞 CVE-2026-0990 的评论

暂无评论

发表评论