Kritische Lücke CVE-2025-49796 in libxml2 führt zu Denial of Service
In der vergangenen Woche wurde die Sicherheitslücke CVE-2025-49796 in der weit verbreiteten XML-Bibliothek libxml2 öffentlich vergeben. Verantwortlich dafür ist eine Type-Confusion in der Schematron-Komponente, die während der Verarbeitung von sch:name-Elementen zu einem ungültigen Namespace-Pointer (0xffffffffffffffff) und damit zu undefiniertem Verhalten bis hin zu einem Denial of Service führen kann. Der Schweregrad wird mit einem CVSS 4.0-Wert von 8,7 angegeben. Entdeckt wurde die Schwachstelle von Nikita Sveshnikov von Positive Technologies; zeroday.pt hatte das Ticket vor rund einer Woche eröffnet. Als kurzfristige Gegenmaßnahme lässt sich in der Funktion xmlSchematronFormatReport eine zusätzliche Prüfung auf den fehlerhaften Pointer einbauen, bis ein offizieller Patch der ungewarteten Schematron-Codebasis vorliegt.