Plataforma
linux
Componente
libxml2
Corregido en
2.15.3-0.3.hum1
Se ha identificado una vulnerabilidad de denegación de servicio (DoS) en la biblioteca libxml2. Esta vulnerabilidad se manifiesta cuando el parser procesa XML catalogs que contienen elementos <nextCatalog> repetidos que apuntan al mismo catálogo. Un atacante remoto puede explotar esta condición al proporcionar catálogos especialmente diseñados, lo que resulta en un consumo excesivo de CPU y una degradación de la disponibilidad del sistema, provocando una denegación de servicio. La vulnerabilidad afecta a versiones 2.15.2-0.3.hum1 y posteriores en sistemas Linux.
La explotación exitosa de esta vulnerabilidad permite a un atacante remoto causar una denegación de servicio (DoS) en sistemas que utilizan la biblioteca libxml2. Al proporcionar catálogos XML maliciosos, el atacante puede desencadenar un bucle de procesamiento excesivo, consumiendo recursos de CPU de manera significativa. Esto puede resultar en una ralentización severa del sistema, interrupciones del servicio e incluso una caída completa del sistema. La magnitud del impacto dependerá de la carga del sistema y de la complejidad de los catálogos maliciosos. La vulnerabilidad se centra en el procesamiento de catálogos XML, lo que podría afectar a aplicaciones que utilizan libxml2 para validar o transformar documentos XML, como procesadores de documentos, sistemas de gestión de contenido o herramientas de análisis de datos.
La vulnerabilidad CVE-2026-0992 ha sido publicada el 15 de enero de 2026. No se ha añadido a KEV (CISA Known Exploited Vulnerabilities) al momento de la publicación. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (DoS) la hace susceptible a explotación. La probabilidad de explotación se considera baja a moderada, dependiendo de la exposición de los sistemas afectados y la disponibilidad de herramientas de explotación.
Applications and systems that rely on libxml2 for XML parsing are at risk, particularly those that process external XML catalogs without proper validation. This includes web servers, data processing pipelines, and any software that handles XML input from untrusted sources. Systems running older, unpatched versions of libxml2 are especially vulnerable.
• linux / server:
journalctl -f | grep -i "libxml2"• linux / server:
ps aux | grep libxml2 | grep -i "catalog"disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-0992 es actualizar a una versión de libxml2 que contenga la corrección. Dado que la versión fija no está especificada, se recomienda contactar al proveedor del sistema operativo o de la aplicación para obtener información sobre las actualizaciones disponibles. Como medida temporal, se puede implementar un filtro de entrada para validar la estructura de los catálogos XML, limitando la cantidad de referencias recursivas permitidas. Además, se puede configurar el sistema para limitar el uso de CPU por parte de los procesos que utilizan libxml2, utilizando herramientas como cgroups en Linux. Después de aplicar la actualización, confirme que la vulnerabilidad ha sido mitigada verificando el procesamiento de catálogos XML con estructuras complejas y monitoreando el uso de CPU.
Actualice la biblioteca libxml2 a la versión 2.15.3-0.3.hum1 o superior para mitigar la vulnerabilidad de denegación de servicio. Aplique las actualizaciones de seguridad proporcionadas por Red Hat a través de su canal de errata (RHSA-2026:7519) para garantizar la protección de su sistema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-0992 is a denial-of-service vulnerability in the libxml2 library, allowing attackers to cause excessive CPU consumption by crafting malicious XML catalogs.
You are potentially affected if you use libxml2 versions 2.15.2-0.3.hum1 or later and process XML catalogs from untrusted sources without proper validation.
Upgrade to the latest available patched version of libxml2 from your distribution's package manager. As a temporary workaround, implement input validation to restrict catalog complexity.
There are currently no publicly known active exploitation campaigns or proof-of-concept exploits for CVE-2026-0992.
Consult your Linux distribution's security advisories for specific details and updates related to CVE-2026-0992 in libxml2.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.