CVE-2020-24977 - 漏洞详情

CVE-2020-24977 (CNNVD-202009-268)

MEDIUM

中文标题:

libxml2 缓冲区错误漏洞

英文标题:

GNOME project libxml2 v2.9.10 has a global buffer over-read vulnerability in xmlEncodeEntitiesIntern...

CVSS分数: 6.5

发布时间: 2020-09-03 23:20:35

漏洞类型: 缓冲区错误

状态: PUBLISHED

数据质量分数: 0.30

数据版本: v3

漏洞描述

中文描述:

libxml2是开源的一个用来解析XML文档的函数库。它用C语言写成，并且能为多种语言所调用，例如C语言，C++，XSH。 libxml2 v2.9.10和更早版本的libxml2/entities.c的xmlEncodeEntitiesInternal中存在缓冲区错误漏洞，该漏洞源于网络系统或产品在内存上执行操作时，未正确验证数据边界，导致向关联的其他内存位置上执行了错误的读写操作。攻击者可利用该漏洞导致缓冲区溢出或堆溢出等。

英文描述:

GNOME project libxml2 v2.9.10 has a global buffer over-read vulnerability in xmlEncodeEntitiesInternal at libxml2/entities.c. The issue has been fixed in commit 50f06b3e.

CWE类型:

CWE-125

受影响产品

厂商	产品	版本	版本范围	平台	CPE
xmlsoft	libxml2	2.9.10	-	-	`cpe:2.3:a:xmlsoft:libxml2:2.9.10:::::::*`
debian	debian_linux	9.0	-	-	`cpe:2.3:o:debian:debian_linux:9.0:::::::*`
fedoraproject	fedora	31	-	-	`cpe:2.3:o:fedoraproject:fedora:31:::::::*`
fedoraproject	fedora	32	-	-	`cpe:2.3:o:fedoraproject:fedora:32:::::::*`
fedoraproject	fedora	33	-	-	`cpe:2.3:o:fedoraproject:fedora:33:::::::*`
opensuse	leap	15.1	-	-	`cpe:2.3:o:opensuse:leap:15.1:::::::*`
opensuse	leap	15.2	-	-	`cpe:2.3:o:opensuse:leap:15.2:::::::*`
netapp	active_iq_unified_manager	*	-	-	`cpe:2.3:a:netapp:active_iq_unified_manager::::::windows::*`
netapp	clustered_data_ontap	-	-	-	`cpe:2.3:a:netapp:clustered_data_ontap:-:::::::*`
netapp	clustered_data_ontap_antivirus_connector	-	-	-	`cpe:2.3:a:netapp:clustered_data_ontap_antivirus_connector:-:::::::*`
netapp	inventory_collect_tool	-	-	-	`cpe:2.3:a:netapp:inventory_collect_tool:-:::::::*`
netapp	manageability_software_development_kit	-	-	-	`cpe:2.3:a:netapp:manageability_software_development_kit:-:::::::*`
netapp	snapdrive	-	-	-	`cpe:2.3:a:netapp:snapdrive:-:::::unix::`
netapp	hci_h410c_firmware	-	-	-	`cpe:2.3:o:netapp:hci_h410c_firmware:-:::::::*`
oracle	communications_cloud_native_core_network_function_cloud_native_environment	1.10.0	-	-	`cpe:2.3:a:oracle:communications_cloud_native_core_network_function_cloud_native_environment:1.10.0:::::::*`
oracle	enterprise_manager_base_platform	13.4.0.0	-	-	`cpe:2.3:a:oracle:enterprise_manager_base_platform:13.4.0.0:::::::*`
oracle	enterprise_manager_base_platform	13.5.0.0	-	-	`cpe:2.3:a:oracle:enterprise_manager_base_platform:13.5.0.0:::::::*`
oracle	enterprise_manager_ops_center	12.4.0.0	-	-	`cpe:2.3:a:oracle:enterprise_manager_ops_center:12.4.0.0:::::::*`
oracle	http_server	12.2.1.3.0	-	-	`cpe:2.3:a:oracle:http_server:12.2.1.3.0:::::::*`
oracle	http_server	12.2.1.4.0	-	-	`cpe:2.3:a:oracle:http_server:12.2.1.4.0:::::::*`
oracle	mysql_workbench	*	-	-	`cpe:2.3:a:oracle:mysql_workbench::::::::`
oracle	peoplesoft_enterprise_peopletools	8.58	-	-	`cpe:2.3:a:oracle:peoplesoft_enterprise_peopletools:8.58:::::::*`
oracle	real_user_experience_insight	13.4.1.0	-	-	`cpe:2.3:a:oracle:real_user_experience_insight:13.4.1.0:::::::*`
oracle	real_user_experience_insight	13.5.1.0	-	-	`cpe:2.3:a:oracle:real_user_experience_insight:13.5.1.0:::::::*`

解决方案

中文解决方案:

（暂无数据）

英文解决方案:

（暂无数据）

临时解决方案:

（暂无数据）

参考链接

无标题 x_refsource_MISC
cve.org

访问

[debian-lts-announce] 20200909 [SECURITY] [DLA 2369-1] libxml2 security update mailing-list
cve.org

访问

openSUSE-SU-2020:1430 vendor-advisory
cve.org

访问

FEDORA-2020-35087800be vendor-advisory
cve.org

访问

openSUSE-SU-2020:1465 vendor-advisory
cve.org

访问

FEDORA-2020-7dd29dacad vendor-advisory
cve.org

访问

FEDORA-2020-b60dbdd538 vendor-advisory
cve.org

访问

FEDORA-2020-be489044df vendor-advisory
cve.org

访问

FEDORA-2020-dd2fc19b78 vendor-advisory
cve.org

访问

FEDORA-2020-20ab468a33 vendor-advisory
cve.org

访问

FEDORA-2020-935f62c3d9 vendor-advisory
cve.org

访问

FEDORA-2020-7773c53bc8 vendor-advisory
cve.org

访问

FEDORA-2020-ff317550e4 vendor-advisory
cve.org

访问

FEDORA-2020-b6aaf25741 vendor-advisory
cve.org

访问

[mina-dev] 20210225 [jira] [Created] (FTPSERVER-500) Security vulnerability in common/lib/log4j-1.2.17.jar mailing-list
cve.org

访问

GLSA-202107-05 vendor-advisory
cve.org

访问

无标题 x_refsource_MISC
cve.org

访问

无标题 x_refsource_CONFIRM
cve.org

访问

无标题 x_refsource_MISC
cve.org

访问

无标题 x_refsource_MISC
cve.org

访问

无标题 x_refsource_MISC
cve.org

访问

CVSS评分详情

6.5

MEDIUM

CVSS向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L

CVSS版本: 3.1

机密性

LOW

完整性

NONE

可用性

LOW

时间信息

发布时间:

2020-09-03 23:20:35

修改时间:

2024-08-04 15:26:08

创建时间:

2025-11-11 15:36:12

更新时间:

2025-11-11 15:56:26

利用信息

暂无可利用代码信息

数据源详情

数据源	记录ID	版本	提取时间
CVE	`cve_CVE-2020-24977`	2025-11-11 15:20:30	2025-11-11 07:36:12
NVD	`nvd_CVE-2020-24977`	2025-11-11 14:57:02	2025-11-11 07:44:38
CNNVD	`cnnvd_CNNVD-202009-268`	2025-11-11 15:10:29	2025-11-11 07:56:26

版本与语言

当前版本: v3

主要语言: EN

支持语言:

EN ZH

安全公告

暂无安全公告信息

变更历史

v3 CNNVD

2025-11-11 15:56:26

vulnerability_type: 未提取 → 缓冲区错误; cnnvd_id: 未提取 → CNNVD-202009-268; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']

查看详细变更

vulnerability_type: 未提取 -> 缓冲区错误
cnnvd_id: 未提取 -> CNNVD-202009-268
data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']

v2 NVD

2025-11-11 15:44:38

cvss_score: 未提取 → 6.5; cvss_vector: NOT_EXTRACTED → CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L; cvss_version: NOT_EXTRACTED → 3.1; affected_products_count: 0 → 24; references_count: 22 → 21; data_sources: ['cve'] → ['cve', 'nvd']

查看详细变更

cvss_score: 未提取 -> 6.5
cvss_vector: NOT_EXTRACTED -> CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L
cvss_version: NOT_EXTRACTED -> 3.1
affected_products_count: 0 -> 24
references_count: 22 -> 21
data_sources: ['cve'] -> ['cve', 'nvd']

CVE-2020-24977 (CNNVD-202009-268)

中文标题:

libxml2 缓冲区错误漏洞

英文标题:

GNOME project libxml2 v2.9.10 has a global buffer over-read vulnerability in xmlEncodeEntitiesIntern...

漏洞描述

中文描述:

英文描述:

CWE类型:

标签:

受影响产品

解决方案

中文解决方案:

英文解决方案:

临时解决方案:

参考链接

CVSS评分详情

时间信息

利用信息

数据源详情

版本与语言

安全公告

变更历史