Vulnerabilidad en la librería de XML Expat (CVE-2022-23852)
ANÁLISIS
La vulnerabilidad se encuentra en el campo "XML_GetBuffer" para congiguraciones con un "XML_CONTEXT_BYTES" no nulo. Esto permite a los atacantes inyectar código malicioso en los sistemas y ejecutarlo allí. [2]
Versiones afectadas:
expat stretch <= 2.2.0-2+deb9u3
expat buster, buster (security) <= 2.2.6-2+deb10u1
expat bullseye <= 2.2.10-2
libexpat es una librería ampliamente utilizada. A contiunación se muestra un listado del software y hardware más relevante al que afecta:
- AndroidStudio
- Apache OpenOffice
- Apache httpd
- Apache Portable Runtime
- Arabica
- Audacity
- Chromium / libjingle_xmpp / xmllite
- CDuce
- Cubrid
- CSVfix
- DFXML / tcpflow
- Exiv2
- Far-NetBox
- Firefox
- Git
- Godot
- Google Music Manager
- Google Earth Enterprise / libsgl
- graph-tool
- JabberWerxC
- Kodi
- libopkele
- libosmium
- LibreOffice
- mstoolkit
- mod_auth_openid
- MapServer
- Nessus
- nginx-dav-ext-module
- openSIPS
- PHP
- PyPy
- Python
- pyxml
- Sphinx
- Squid
- TQSL
- Trusted QSL
- ulxmlrpcpp
- VirtualBox
- VTK
- WebKit / libwebrtc
- WinSCP
- wvWare / libwv
- XML Copy Editor
- xmp3
- xmlrpc-c
- xmlppm
- Brother VC-500W
- HP LaserJet Pro M12a Printer
- HP Photosmart 8000
- Panasonic pro-av
- Sony VPL-VW300ES
- Siemens SIPROTEC 5
- Vodafone EasyBox 804
Entre otros [3]
La vulnerabilidad tiene una puntuación oficial CVSSv3 de 9.8, por lo que se considera de prioridad crítica. No existe prueba de concepto para explotar esta vulnerabilidad.
RECOMENDACIONES
Debian ya ha lanzado el parche 2.2.0-2+deb9u4 [4] para corregir la vulnerabilidad en expat strech. No obstante, se recomienda revisar la lista de software afectado y actualizarlo en función de la versión de libexpat que utilice.