Se han descubierto múltiples vulnerabilidades de severidad crítica en Red Hat Linux. Un actor malicioso podría lograr la denegación de servicio, el bloqueo del programa o request smuggling.
Productos afectados
- Red Hat Enterprise Linux 10, versiones anteriores a RHSA-2025:10630.
- Red Hat Enterprise Linux 8, versiones anteriores a RHSA-2025:10698.
- Red Hat Enterprise Linux 8.4 Advanced Mission Critical Update Support, versiones anteriores a RHSA-2025:12241.
- Red Hat Enterprise Linux 8.2 Advanced Update Support, versiones anteriores a RHSA-2025:12237.
- Red Hat Enterprise Linux 7 Extended Lifecycle Support, versiones anteriores a RHSA-2025:12240.
- Red Hat Enterprise Linux 8.4 Extended Update Support Long-Life Add-On, versiones anteriores a RHSA-2025:12241.
- Componente libxml2 en múltiples versiones de Red Hat Enterprise Linux.
- Cryostat 4 en RHEL 9, versiones anteriores a RHSA-2025-10323.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2025-49796: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad en libxml2, donde al procesar ciertos elementos sch:name desde un archivo XML de entrada se podría generar un problema de corrupción de memoria. Un actor malicioso podría diseñar un archivo XML de entrada malicioso, causando una denegación de servicio en los productos Red Hat Enterprise Linux afectados.
CVE-2025-49794: con una puntuación de 9.1 en CVSS v3.1. Existe una vulnerabilidad de uso después de liberar en libxml2 al procesar elementos XPath bajo ciertas circunstancias. Un actor malicioso podría diseñar un archivo XML malicioso para lograr el bloqueo del programa, lo que afecta a los productos Red Hat Enterprise Linux.
CVE-2025-22871: con una puntuación de 9.1 en CVSS v3.1. Se encontró una vulnerabilidad en el paquete de net/http de golang. El paquete acepta mensajes que terminan con un salto de línea (LF) en lugar de la terminación de línea correcta. Un actor malicioso podría aprovechar esta vulnerabilidad para lograr el request smuggling, lo que afecta a productos Cryostat 4 en RHEL 9.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-49796
- https://nvd.nist.gov/vuln/detail/CVE-2025-49794
- https://nvd.nist.gov/vuln/detail/CVE-2025-22871
- https://access.redhat.com/security/cve/CVE-2025-49796#cve-affected-packages
- https://access.redhat.com/security/cve/CVE-2025-49794#cve-affected-packages
- https://access.redhat.com/security/cve/CVE-2025-22871#cve-affected-packages