漏洞概述 漏洞名称: libhtml-gumbo-perl: 对不支持的模板HTML元素GUMBO_NODE_TEMPLATE节点类型的错误行为 CVE编号: CVE-2025-15646 报告者: Vincent Lefevre 严重程度: 严重 标签: 代码错误、补丁、安全、上游 发现版本: libhtml-gumbo-perl 0.18-3, libhtml-gumbo-perl 0.18-4 修复版本: libhtml-gumbo-perl 0.18-5 修复者: gregor herrmann 转发链接: https://github.com/ruzh/HTML-Gumbo/issues/6 影响范围 受影响版本: libhtml-gumbo-perl 0.18-3, libhtml-gumbo-perl 0.18-4 影响描述: 在处理模板HTML元素时,libhtml-gumbo-perl会出现错误行为,可能导致不可预测的输出,包括控制字符。 修复方案 修复版本: libhtml-gumbo-perl 0.18-5 修复内容: 修复了对不支持的模板HTML元素GUMBO_NODE_TEMPLATE节点类型的错误行为。 修复链接: https://salsa.debian.org/perl-team/modules/packages/libhtml-gumbo-perl/-/commit/f9d6de263ce607d7fa8031975b0b4d661 POC代码 其他信息 Valgrind输出: 显示了内存泄漏和未初始化数据的使用情况。 修复补丁: Niko Tyni 提供了修复补丁,修复了对GUMBO_NODE_TEMPLATE节点类型的错误处理。 修复确认: gregor herrmann 确认了修复,并将补丁上传到Debian FTP服务器。