支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-0992 基础信息
漏洞信息
                                        # Libxml2 XML目录拒绝服务漏洞

## 概述
libxml2 库中存在一个资源消耗失控漏洞,攻击者可通过构造恶意 XML catalog 文件触发。

## 影响版本
未明确指定具体版本,需关注 libxml2 官方公告以确认受影响版本范围。

## 细节
漏洞发生在处理包含重复 `<nextCatalog>` 元素的 XML catalog 时,这些元素可循环指向同一下游 catalog。解析器在解析过程中未限制对 catalog 链的重复遍历,导致无限或大量重复处理。

## 影响
远程攻击者可提供特制的 catalog 文件,使解析器陷入冗余遍历,造成 CPU 资源过度消耗,最终导致服务不可用,形成拒绝服务(DoS)攻击。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Libxml2: libxml2: denial of service via crafted xml catalogs
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A flaw was found in the libxml2 library. This uncontrolled resource consumption vulnerability occurs when processing XML catalogs that contain repeated <nextCatalog> elements pointing to the same downstream catalog. A remote attacker can exploit this by supplying crafted catalogs, causing the parser to redundantly traverse catalog chains. This leads to excessive CPU consumption and degrades application availability, resulting in a denial-of-service condition.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L
来源:美国国家漏洞数据库 NVD
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:美国国家漏洞数据库 NVD
漏洞标题
libxml2 资源管理错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
libxml2是GNOME开源的一个用来解析XML文档的函数库。它用C语言写成,并且能为多种语言所调用,例如C语言,C++,XSH。 libxml2存在资源管理错误漏洞,该漏洞源于处理包含重复指向相同下游目录的<nextCatalog>元素的XML目录时出现不受控制的资源消耗,可能导致远程攻击者通过提供特制目录造成过度CPU消耗和应用程序可用性降低。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
资源管理错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2026-0992 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-0992 的情报信息
  • https://access.redhat.com/security/cve/CVE-2026-0992vdb-entryx_refsource_REDHAT

  • 标题: 2429975 – (CVE-2026-0992) CVE-2026-0992 libxml2: libxml2: Denial of Service via crafted XML catalogs -- 🔗来源链接

    标签:issue-trackingx_refsource_REDHAT

    神龙速读:
                                            ### 关键漏洞信息

- **漏洞ID**: Bug 2429975 (CVE-2026-0992)
- **漏洞类型**: 安全漏洞
- **产品**: Security Response
- **组件**: vulnerability
- **操作系统**: Linux
- **优先级**: 低
- **严重性**: 低
- **报告时间**: 2026-01-15 13:35 UTC
- **修改时间**: 2026-01-15 13:47 UTC
- **报告者**: OSIDB Bzimport

### 漏洞描述

- **描述**: libxml2库中的XML目录处理逻辑存在资源消耗过度的问题。当处理包含指向同一下游目录的重复`<nextCatalog>`元素的XML目录链时,解析器会冗余地遍历目录链,导致深度增加时处理时间指数增长。通过提供精心设计的目录,可以造成CPU过度消耗,导致服务拒绝条件。
    2429975 – (CVE-2026-0992) CVE-2026-0992 libxml2: libxml2: Denial of Service via crafted XML catalogs
  • https://nvd.nist.gov/vuln/detail/CVE-2026-0992
四、漏洞 CVE-2026-0992 的评论

暂无评论

发表评论