Hacker News 中文摘要

RSS订阅

PSA:Libxslt 已无人维护,存在 5 个未修复的安全漏洞 -- PSA: Libxslt is unmaintained and has 5 unpatched security bugs

原文链接 | HN讨论 | 2025-08-29 23:04:30

文章摘要

libxslt目前无人维护,存在三个未修复的安全漏洞,其中两个已公开,分别是CVE-2025-7424和CVE-2025-7425。尽管苹果和谷歌的工程师在GNOME GitLab上提出了修复方案,但至今未在代码库中应用。

文章总结

标题:libxslt 项目无人维护,存在多个未修复的安全漏洞

主要内容:

Alan Coopersmith 报告称,libxslt 项目目前没有活跃的维护者,且存在多个未修复的安全漏洞。libxslt 是 libxml2 的姊妹项目,用户可能同时使用这两个项目。

截至报告时,已披露的两个漏洞包括:

  1. CVE-2025-7424:libxslt 中 xmlNode.psvi 在样式表和源节点之间的类型混淆问题。
  2. CVE-2025-7425:libxslt 中由于 atype 损坏导致的 xmlFreeID 堆释放后使用问题。

尽管来自苹果和谷歌的工程师在 GNOME GitLab 的问题中提出了修复补丁,但由于 libxslt 目前没有维护者,这些补丁尚未被应用到代码库中。

此外,2025年6月18日还报告了第四个漏洞(GNOME libxslt 问题 148),但该漏洞至今未公开披露。

相关链接: - GNOME 安全 Wiki - CVE-2025-7424 问题链接 - CVE-2025-7425 问题链接

评论总结

评论主要围绕XSLT(可扩展样式表语言转换)的维护和安全问题展开,以下是主要观点和论据的总结:

  1. XSLT的维护问题

    • burnt-resistor指出,GNOME的官僚主义导致libxslt的新维护者申请处理拖延,且主要浏览器已弃用或移除XSLT支持。引用:“GNOME bureaucracy is holding up the processing the application of a new maintainer for over a month now.”(GNOME的官僚主义已经拖延了新维护者申请的处理超过一个月。)
    • grandinj提到Linux基金会应接管无人维护的项目,确保基本补丁和应用。引用:“Taking ownership of unmaintained projects so that at least they have the bare minimum of patches being applied.”(接管无人维护的项目,确保至少应用了最基本的补丁。)

  2. XSLT的安全问题

    • JimDabell提到XSLT在浏览器中存在20年以上的漏洞,且难以修复。引用:“Although XSLT in web browsers has been a known attack surface for some time, there are still plenty of bugs to be found in it.”(尽管XSLT在浏览器中是一个已知的攻击面,但仍有许多漏洞存在。)
    • nwellnhof认为,只有在允许执行不受信任的样式表时,这些问题才相关,而浏览器厂商是例外。引用:“these issues are only relevant if you allow the execution of untrusted stylesheets which nobody would ever do.”(这些问题只有在允许执行不受信任的样式表时才相关,而没有人会这样做。)

  3. XSLT的未来发展

    • SigmundA提出WASM polyfill是XSLT的未来发展方向,浏览器应通过WASM减少原生代码的攻击面。引用:“To me this is the best way forward, I used to like XSLT quite a bit but the world has moved on.”(对我来说,这是最好的前进方向,我曾经很喜欢XSLT,但世界已经向前发展了。)

  4. 其他相关讨论

    • imp0cat询问这是否影响lxml库。引用:“Does this affect https://lxml.de/ ?”(这是否影响https://lxml.de/?)
    • camgunz质疑为何XSLT只有一个未维护的实现,而SQLite却因只有一个实现而被拒绝。引用:“Am I right that, while we can’t have SQLite because there’s only 1 implementation, we can have XSLT even though there’s only 1--unmaintained--implementation?”(我是否正确,虽然我们不能有SQLite因为它只有一个实现,但我们却可以有XSLT,尽管它只有一个未维护的实现?)

总结:评论主要关注XSLT的维护和安全问题,提出了通过WASM等技术减少攻击面的建议,并对相关项目的未来发展方向进行了讨论。