Escanear gratis
Análisis pendienteCVE-2026-7168

CVE-2026-7168: SSRF in libcurl 8.12.0–8.19.0

Plataforma

c

Componente

curl

Corregido en

8.19.1

Ver en NVD
Guardar

La vulnerabilidad CVE-2026-7168 es una falla de Server-Side Request Forgery (SSRF) descubierta en libcurl. Esta falla ocurre cuando libcurl, al realizar transferencias a través de un proxy con autenticación Digest, reutiliza incorrectamente el encabezado Proxy-Authorization para un segundo proxy. Esto podría permitir a un atacante acceder a recursos internos que normalmente estarían protegidos. La vulnerabilidad afecta a las versiones de libcurl desde 8.12.0 hasta 8.19.0, y se ha solucionado en la versión 8.19.1.

Impacto y Escenarios de Ataque

Un atacante podría explotar esta vulnerabilidad para realizar solicitudes a recursos internos que normalmente no serían accesibles desde el exterior. Al manipular la secuencia de proxies y reutilizar el encabezado Proxy-Authorization, el atacante podría engañar a libcurl para que envíe solicitudes a servidores internos con credenciales de autenticación válidas. Esto podría permitir el acceso a datos confidenciales, la ejecución de comandos en sistemas internos o incluso el movimiento lateral dentro de la red. La severidad de esta vulnerabilidad depende de la sensibilidad de los recursos internos a los que se puede acceder a través de la SSRF. Si un atacante puede acceder a servicios de administración o bases de datos internas, el impacto podría ser significativo.

Contexto de Explotación

La vulnerabilidad CVE-2026-7168 fue publicada el 13 de mayo de 2026. Actualmente, no se conoce si esta vulnerabilidad está siendo activamente explotada en la naturaleza. No se ha reportado su inclusión en KEV o EPSS, por lo que la probabilidad de explotación se considera baja a moderada. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO

EPSS

0.03% (10% percentil)

Software Afectado

Componentecurl
Proveedorcurl
Versión mínima8.12.0
Versión máxima8.19.0
Corregido en8.19.1

Clasificación de Debilidad (CWE)

CWE-294

Cronología

  1. Reservado
  2. Publicada
  3. EPSS actualizado

Mitigación y Workarounds

La mitigación principal para CVE-2026-7168 es actualizar a la versión 8.19.1 de libcurl o superior. Si la actualización no es inmediatamente posible, considere implementar reglas en un proxy inverso o firewall de aplicaciones web (WAF) para bloquear solicitudes con encabezados Proxy-Authorization sospechosos. También se puede implementar una validación estricta de los nombres de host de los proxies en la aplicación que utiliza libcurl. Verifique que la configuración de libcurl no permita el uso de proxies con autenticación Digest en situaciones donde no sea necesario. Después de la actualización, confirme que la vulnerabilidad ha sido mitigada realizando pruebas de SSRF con diferentes configuraciones de proxy.

Cómo corregirlotraduciendo…

Actualice a la versión 8.19.1 o posterior de libcurl para evitar la fuga de estado de autenticación Digest. Esta vulnerabilidad permite que la información de autenticación de un proxy se transmita incorrectamente a otro proxy, lo que podría comprometer la seguridad de las comunicaciones.

Preguntas frecuentes

What is CVE-2026-7168 — SSRF in libcurl?

CVE-2026-7168 es una vulnerabilidad de Server-Side Request Forgery (SSRF) en libcurl que permite el envío incorrecto de encabezados de autorización a proxies, facilitando el acceso no autorizado a recursos internos.

Am I affected by CVE-2026-7168 in libcurl?

Si está utilizando libcurl en las versiones 8.12.0 a 8.19.0 y realiza solicitudes a través de proxies con autenticación Digest, es probable que esté afectado.

How do I fix CVE-2026-7168 in libcurl?

La solución es actualizar a la versión 8.19.1 de libcurl o superior. Si no es posible, implemente reglas de WAF o validación de nombres de host de proxies.

Is CVE-2026-7168 being actively exploited?

Actualmente no se conoce si CVE-2026-7168 está siendo activamente explotada, pero se recomienda monitorear las fuentes de inteligencia de amenazas.

Where can I find the official libcurl advisory for CVE-2026-7168?

Consulte el sitio web oficial de libcurl o el NVD (National Vulnerability Database) para obtener la información más reciente sobre esta vulnerabilidad.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...