Libsoup3
Уязвимости
20
Эксплуатируемые
0
Макс. CVSS
9
Макс. EPSS
0.00933
Распределение по критичности
Критический
1
Высокий
9
Средний
10
Низкий
0
Также сопоставлено как (исходные строки): libsoup3
Топ уязвимостей
CVE-2025-32911В библиотеке libsoup обнаружена уязвимость use-after-free в функции soup_message_headers_get_content_disposition(), что может позволить злоумышленнику вызвать повреждение памяти на сервере libsoup.
Источники:
- [1] https://access.redhat.com/errata/RHSA-2025:4439
- [2] https://access.redhat.com/errata/RHSA-2025:4440
- [3] https://access.redhat.com/errata/RHSA-2025:4508
- [4] https://access.redhat.com/errata/RHSA-2025:4538
- [5] https://access.redhat.com/errata/RHSA-2025:4560
CVE-2025-4948В библиотеке libsoup обнаружена уязвимость, связанная с целочисленным подflow при обработке multipart-сообщений. Уязвимость вызвана небезопасной арифметической операцией в функции soup_multipart_new_from_message(), что может привести к краху приложения и созданию условий для отказа в обслуживании (DoS). Для устранения рекомендуется обновить библиотеку libsoup до исправленной версии [1].
Источники:
- [1] https://access.redhat.com/security/cve/CVE-2025-4948
- [2] https://bugzilla.redhat.com/show_bug.cgi?id=2367183
CVE-2025-32913Отказ в обслуживании в libsoup
CVE-2025-32908В либсупе был обнаружен недостаток. Сервер HTTP/2 в libsoup может не полностью проверять значения pseudo-headers :scheme, :authority, и :path, которые могут позволить пользователю вызвать отказ в обслуживании (DoS).
CVE-2025-32906Недостаток был обнаружен в либзу, где функция soup_headers_parse_request() может быть уязвима для внешредительного чтения. Этот недостаток позволяет злоумышленнику использовать специально созданный HTTP-запрос для сбоя HTTP-сервера.
CVE-2025-32049В libsoup было найдено недочет. Соединение SoupWebsocketConnection может принять большое сообщение WebSocket, что может привести к выделению памяти и вызвать отказ в обслуживании (DoS).
CVE-2025-11021Библиотека libsoup, используемая в GNOME и других приложениях для взаимодействия с веб-сервисами, содержит уязвимость, связанную с выходом за пределы буфера при обработке дат cookie. Это может привести к раскрытию содержимого памяти и потенциально компрометировать конфиденциальную информацию [1].
Источники:
- [1] https://access.redhat.com/security/cve/CVE-2025-11021
- [2] https://bugzilla.redhat.com/show_bug.cgi?id=2399627
CVE-2024-52532GNOME libsoup до версии 3.6.1 имеет бесконечный цикл и потребление памяти во время чтения определенных шаблонов данных WebSocket от клиентов.
CVE-2024-52530GNOME libsoup до версии 3.6.0 допускает контрабанду HTTP-запросов в некоторых конфигурациях, поскольку символы '\0' в конце имен заголовков игнорируются, т. е. заголовок "Transfer-Encoding\0: chunked" обрабатывается так же, как заголовок "Transfer-Encoding: chunked".
CVE-2025-32914Недостаток был обнаружен в libsoup, где функция soup_multipart_new_from_message() уязвима для чтения за пределами границ. Этот недостаток позволяет вредоносному HTTP-клиенту побудить сервер libsoup считываться за пределы.
CVE-2025-32912Недостаток был обнаружен в либзупе, где SoupAuthDigest уязвим для указательной ссылки NULL. HTTP-сервер может привести к сбою клиента libsoup.
CVE-2025-32910Недостаток был обнаружен в либзупе, где soup_auth_digest_authent.authent. Эта проблема может привести к тому, что клиент libsoup разобьется.
CVE-2025-32053В анонимной библиотеке libsoup была найдена недостаток. Уязвимость в функциях sniff_feed_or_html() и skip_insignificant_space() может привести к переполнению буфера в куче.
CVE-2025-32052Недостаток был обнаружен в libsoup. Уязвимость в функции sniff_unknown() может привести к переполнению буфера кучи.
CVE-2025-2784В libsoup обнаружен дефект. Пакет уязвим к переполнению буфера на куче при перехвате содержимого через функцию skip_insight_whitespace(). Клиенты libsoup могут прочитать один байт за пределами границ в ответ на созданный HTTP-ответ от HTTP-сервера.
CVE-2025-32051В libsoup обнаружен дефект. Функция libsoup soup_uri_decode_data_uri() может завершиться с ошибкой при обработке искаженного data URI. Этот недостаток позволяет злоумышленнику вызвать отказ в обслуживании (DoS).
CVE-2025-32050В libsoup обнаружен дефект. Функция libsoup append_param_quoted() может содержать ошибку переполнения, в результате чего происходит недочет буфера.
CVE-2025-32909В либсупе был обнаружен недостаток. SoupContentSniffer может быть уязвим для указательной ссылки NULL в функции sniff_mp4. HTTP-сервер может привести к сбою клиента libsoup.
CVE-2025-32907Уязвимость в libsoup, приводящая к отказу в обслуживании при запросе клиента на большое количество перекрывающихся диапазонов с заголовком Range.
Источники:
- [1] https://access.redhat.com/errata/RHSA-2025:4439
- [2] https://access.redhat.com/errata/RHSA-2025:4440
- [3] https://access.redhat.com/errata/RHSA-2025:4508
- [4] https://access.redhat.com/errata/RHSA-2025:7436
- [5] https://access.redhat.com/security/cve/CVE-2025-32907
CVE-2024-52531GNOME libsoup до 3.6.1 позволяет переполнение буфера в приложениях, которые выполняют преобразование в UTF-8 в soup_header_parse_param_list_strict. Существует правдоподобный способ достичь этого удаленно через soup_message_headers_get_content_type (например, приложение может захотеть получить тип контента запроса или ответа).