In libxml2 2.11 before 2.11.9, 2.12 before 2.12.9, and 2.13 before 2.13.3, the SAX parser can produce events for external entities even if custom SAX handlers try to override entity content (by setting "checked"). This makes classic XXE attacks possible.
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:HNetapp H300s
HWNetappwszystkie wersjeNetapp H300s Firmware
OSNetappwszystkie wersjeNetapp H410c
HWNetappwszystkie wersjeNetapp H410c Firmware
OSNetappwszystkie wersjeNetapp H410s
HWNetappwszystkie wersjeNetapp H410s Firmware
OSNetappwszystkie wersjeNetapp H500s
HWNetappwszystkie wersjeNetapp H500s Firmware
OSNetappwszystkie wersjeNetapp H700s
HWNetappwszystkie wersjeNetapp H700s Firmware
OSNetappwszystkie wersjeNetapp Hci Compute Node
OSNetappwszystkie wersjeNetapp Solidfire \& Hci Management Node
APPNetappwszystkie wersjeNetapp Solidfire \& Hci Storage Node
APPNetappwszystkie wersjeXmlsoft Libxml2
APPXmlsoft2.11.0 – 2.11.9 (bez)2.13.0 – 2.13.3 (bez)2.12.0 – 2.12.9 (bez)
🟢
PATCH AVAILABLE
Vendor update available. Deploy in standard maintenance cycle.
Tags
XXE
CWE
Related vulnerabilities
CVE-2024-54085CRITICAL10.0⚠ KEVPL ✓ten sam produkt
AMI MegaRAC SPx — zdalne ominięcie uwierzytelnienia w interfejsie Redfish BMC
CVE-2025-24813CRITICAL9.8⚠ KEVPL ✓ten sam produkt
Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych
CVE-2021-44228CRITICAL10.0⚠ KEVten sam produkt
Apache Log4j2 2.0-beta9 through 2.15.0 (excluding security releases 2.12.2, 2.12.3, and 2.3.1) JNDI features u...
CVE-2024-56337CRITICAL9.8PL ✓ten sam produkt
Apache Tomcat: niekompletna mitygacja TOCTOU Race Condition (CVE-2024-50379)
CVE-2024-50379CRITICAL9.8PL ✓ten sam produkt
RCE via TOCTOU Race Condition podczas kompilacji JSP w Apache Tomcat