Expat allows context-dependent attackers to cause a denial of service (crash) or possibly execute arbitrary code via a malformed input document, which triggers a buffer overflow.
oryginał ENCVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApple Mac Os X
OSApple10.11.0 – 10.11.5Canonical Ubuntu
OSCanonical12.0414.0416.04Debian
OSDebian8.0Libexpat Project Libexpat
APPLibexpat Project< 2.2.0Mcafee Policy Auditor
APPMcafee< 6.5.1Mozilla Firefox
APPMozilla< 48.0Opensuse Leap
OSOpensuse42.1Opensuse
OSOpensuse13.113.2Python
APPPython3.6.0 – 3.6.2 (bez)2.7.0 – 2.7.15 (bez)3.3.0 – 3.3.7 (bez)3.4.0 – 3.4.7 (bez)3.5.0 – 3.5.4 (bez)SUSE Linux Enterprise Debuginfo
APPSuse11SUSE Linux Enterprise Desktop
OSSuse12SUSE Linux Enterprise Server
OSSuse1112SUSE Linux Enterprise Software Development Kit
OSSuse1112SUSE Studio Onsite
APPSuse1.3
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCEDoSMemory
CWE
Referencje
Powiązane podatności
CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam produkt
GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER
CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt
Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)
CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt
RCE przez deserializację PHP w Roundcube Webmail (parametr _from)
CVE-2025-32433CRITICAL10.0⚠ KEVPL ✓ten sam produkt
Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)
CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt
Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki