Plataforma
c
Componente
curl
Corregido en
7.51.1
CVE-2016-8622 describe un desbordamiento de pila (heap overflow) en la biblioteca libcurl, afectando a las versiones desde 7.51.0 hasta 7.51.0. Esta vulnerabilidad se origina en la función de decodificación de URL con porcentaje (curleasyunescape), donde un cálculo incorrecto del tamaño del búfer de destino puede llevar a una escritura fuera de los límites del búfer asignado. La actualización a la versión 7.51.0 corrige esta vulnerabilidad.
Un atacante podría explotar esta vulnerabilidad enviando una URL especialmente diseñada a una aplicación que utilice libcurl. La decodificación incorrecta de la URL podría provocar un desbordamiento de búfer en la memoria, lo que podría permitir al atacante ejecutar código arbitrario en el sistema afectado. El impacto potencial incluye la ejecución remota de código, la denegación de servicio o la exposición de información confidencial. Aunque la puntuación CVSS es baja, la amplia utilización de libcurl en diversas aplicaciones web y de red aumenta el riesgo general, ya que una explotación exitosa podría comprometer la integridad y confidencialidad de los datos.
Este CVE no aparece en el KEV de CISA. La puntuación CVSS de 3.7 indica una baja probabilidad de explotación activa, aunque la amplia adopción de libcurl significa que el riesgo general no debe subestimarse. No se han reportado explotaciones activas en la naturaleza, pero la disponibilidad de la vulnerabilidad en una biblioteca tan ampliamente utilizada la convierte en un objetivo potencial para futuros ataques. La publicación del CVE fue el 31 de julio de 2018.
Applications that rely on libcurl for network communication are at risk. This includes web servers, email clients, and any software that uses libcurl to transfer data over HTTP, HTTPS, FTP, or other protocols. Systems using older, unpatched versions of libcurl are particularly vulnerable.
• linux / server:
ps aux | grep curl• c / generic web:
curl -I https://example.com --dump-header - | grep libcurl• generic web: Inspect application logs for errors related to libcurl or memory allocation failures.
discovery
disclosure
Estado del Exploit
Vector CVSS
La mitigación principal para CVE-2016-8622 es actualizar a la versión 7.51.0 o posterior de libcurl. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como el uso de un proxy o firewall para filtrar las URL maliciosas. Además, se recomienda revisar el código de las aplicaciones que utilizan libcurl para identificar y corregir cualquier vulnerabilidad relacionada con la decodificación de URL. Después de la actualización, confirme la corrección ejecutando pruebas de regresión y verificando que la función de decodificación de URL se comporte como se espera.
Actualice a la versión 7.51.0 o posterior de libcurl para mitigar la vulnerabilidad. Esta actualización corrige un error de desbordamiento de búfer en la función de decodificación de URL percent-encoding, evitando la posible ejecución de código arbitrario.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2016-8622 is a heap overflow vulnerability in libcurl versions 7.51.0–7.51.0, caused by improper URL percent-encoding decoding. It can lead to out-of-bounds writes and potential DoS.
You are affected if your application uses libcurl version 7.51.0 or earlier. Check your libcurl version and upgrade if necessary.
Upgrade to libcurl version 7.51.0 or later. This version includes a patch that resolves the heap overflow vulnerability.
There is no current evidence of active exploitation campaigns targeting CVE-2016-8622.
Refer to the libcurl security advisory: https://curl.se/security/advisories/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.