PSA: Libxslt is unmaintained and has 5 unpatched security bugs

Пакеты: libxslt, linux-c7-libxslt, linux-rl9-libxslt (версии <2)
Суть: проект без мейнтейнера, 3 неисправленные уязвимости
CVE-2025-7424: путаница типов xmlNode.psvi
CVE-2025-7425: use-after-free в xmlFreeID
CVE-2025-????: четвёртая уязвимость (18.06.25) пока не раскрыта
Статус: патчи от Apple и Google есть, но не применены из-за отсутствия мейнтейнера

Пользователи обсуждают, что libxslt остаётся единственной C-реализацией XSLT 1.0, на которую завязаны браузеры, GNOME-стек и множество дистрибутивов.
Google отказалась выплачивать bug-bounty за уязвимости, сообщённые контрибьютору libxslt, а новый мейнтейнер всё ещё проходит бюрократическую проверку в GNOME.
Появились предложения вывести XSLT из браузеров и заменить его WASM-полифиллом или переложить поддержку на Linux Foundation.
Участники отмечают, что XSLT 1.0 имеет много реализаций (Saxon, Xalan, MSXML), но именно libxslt используется в Chrome/Blink, что создаёт монокультуру.