LOWCVE-2026-0992CVSS 2.9

Libxml2: libxml2: 悪意のあるXMLカタログによるサービス拒否

プラットフォーム

linux

コンポーネント

libxml2

修正版

2.15.3-0.3.hum1

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-0992は、libxml2ライブラリにおけるサービス拒否（DoS）脆弱性です。この脆弱性は、XMLカタログを処理する際に、リソースの制御が不十分なために発生します。攻撃者は、悪意のあるXMLカタログを送信することで、過剰なCPUリソースを消費させ、アプリケーションの可用性を低下させる可能性があります。影響を受けるバージョンは2.15.2-0.3.hum1以降ですが、最新バージョンへのアップデートで対応済みです。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はXMLカタログに悪意のある<nextCatalog>要素を繰り返し含めることで、libxml2パーサーが同じダウンストリームカタログを繰り返しトラバースする状況を作り出すことができます。これにより、サーバーのCPUリソースが過剰に消費され、サービス拒否状態に陥る可能性があります。攻撃者は、この脆弱性を利用して、アプリケーションの可用性を低下させ、機密情報の窃取や改ざんといった二次的な攻撃を行う可能性があります。特に、XMLファイルを処理するWebアプリケーションやサービスが標的となる可能性が高いです。

悪用の状況

CVE-2026-0992は、2026年1月15日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XMLパーサーの脆弱性は過去に悪用事例が多数存在しており、今後悪用される可能性も考慮する必要があります。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Applications and systems that rely on libxml2 for XML parsing are at risk, particularly those that process external XML catalogs without proper validation. This includes web servers, data processing pipelines, and any software that handles XML input from untrusted sources. Systems running older, unpatched versions of libxml2 are especially vulnerable.

検出手順翻訳中…

• linux / server:

journalctl -f | grep -i "libxml2"

• linux / server:

ps aux | grep libxml2 | grep -i "catalog"

攻撃タイムライン

2026-01-15Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出低

レポート3 件の脅威レポート

EPSS

0.02% (6% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントlibxml2

ベンダーRed Hat

影響範囲修正版

2.15.2-0.3.hum1 – 2.15.2-0.3.hum12.15.3-0.3.hum1

弱点分類 (CWE)

CWE-400

タイムライン

予約済み2026-01-15
公開日2026-01-15
更新日2026-04-22
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への対応策として、libxml2を最新バージョンにアップデートすることが推奨されます。アップデートが困難な場合は、XMLカタログの入力を厳密に検証し、不正なXML構造が含まれていないか確認するなどの対策を講じる必要があります。また、WAF（Web Application Firewall）を導入し、悪意のあるXMLリクエストをブロックすることも有効です。XMLパーサーのタイムアウト設定を調整することで、リソースの過剰な消費を抑制することも可能です。

修正方法

libxml2ライブラリをバージョン2.15.3-0.3.hum1以降にアップデートすることで、サービス拒否の脆弱性を軽減できます。システムを保護するために、Red Hatが提供するセキュリティアップデート（RHSA-2026:7519）を適用してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-0992 — DoS in libxml2とは何ですか？

CVE-2026-0992は、libxml2ライブラリにおけるXMLカタログ処理の不備により発生するサービス拒否（DoS）脆弱性です。悪意のあるXMLカタログを処理することで、サーバーのCPUリソースを過剰に消費させ、サービスを停止させる可能性があります。

CVE-2026-0992 in libxml2の影響は受けますか？

libxml2のバージョンが2.15.2-0.3.hum1以降を使用している場合は、この脆弱性の影響を受ける可能性があります。バージョンを確認し、最新バージョンへのアップデートを検討してください。

CVE-2026-0992 in libxml2を修正するにはどうすればよいですか？

libxml2を最新バージョンにアップデートすることが推奨されます。アップデートが困難な場合は、XMLカタログの入力を厳密に検証するなどの対策を講じてください。

CVE-2026-0992は積極的に悪用されていますか？

現時点では、CVE-2026-0992を悪用した具体的な攻撃事例は報告されていません。しかし、XMLパーサーの脆弱性は過去に悪用事例が多数存在しており、今後悪用される可能性も考慮する必要があります。

CVE-2026-0992に関するlibxml2の公式アドバイザリはどこで入手できますか？

libxml2の公式アドバイザリは、libxml2プロジェクトのウェブサイトで確認できます。詳細は、関連するセキュリティ情報を参照してください。