Kritische Lücke CVE-2025-49796 in libxml2 führt zu Denial of Service

In der vergangenen Woche wurde die Sicherheitslücke CVE-2025-49796 in der weit verbreiteten XML-Bibliothek libxml2 öffentlich vergeben. Verantwortlich dafür ist eine Type-Confusion in der Schematron-Komponente, die während der Verarbeitung von sch:name-Elementen zu einem ungültigen Namespace-Pointer (0xffffffffffffffff) und damit zu undefiniertem Verhalten bis hin zu einem Denial of Service führen kann. Der Schweregrad wird mit einem CVSS 4.0-Wert von 8,7 angegeben. Entdeckt wurde die Schwachstelle von Nikita Sveshnikov von Positive Technologies; zeroday.pt hatte das Ticket vor rund einer Woche eröffnet. Als kurzfristige Gegenmaßnahme lässt sich in der Funktion xmlSchematronFormatReport eine zusätzliche Prüfung auf den fehlerhaften Pointer einbauen, bis ein offizieller Patch der ungewarteten Schematron-Codebasis vorliegt.

Related Posts

Datenleck bei App Baukasten Passion.io - 12 Terrabyte an Daten lagen offen im Netz

Ein gravierender Datenschutzvorfall hat die App-Baukasten-Plattform Passion.io erschüttert: Über 3,6 Millionen unverschlüsselte Datensätze mit teils sensiblen personenbezogenen Informationen (PII) waren öffentlich im Netz abrufbar, so berichtet VPNMentor.

Read More

SMB: Kerberos Reflective Relay Angriff führt zu Privilege Esacalation in Windows Netzwerken

Hohe Gefahr durch Windows SMB – CVE-2025-33073 ermöglicht Privilegienerweiterung über das Netzwerk, mit Hilfe der Reflective Kerberos Relay Angriffstechnik. Ein autorisierter Angreifer kann aufgrund unzureichender Zugriffskontrolle in SMB seine Rechte ausweiten. Die NVD klassifiziert die Schwachstelle mit CVSS 3.1 Score 8.8 (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) als High Severity (nvd.nist.gov). Microsoft veröffentlichte die Behebung im Juni-Patchday am 10. Juni 2025.

Read More

Kritische Schwachstelle in Dell PowerScale OneFS NAS

Am 4. Juni 2025 hat Dell ein umfangreiches Sicherheits-Update (DSA-2025-208) für PowerScale OneFS veröffentlicht, das mehrere teils kritische Lücken schließt. Betroffen sind insbesondere OneFS-Versionen 9.5.0.0 bis 9.10.0.1:

Read More