CVE-2026-7009: OCSP Stapling Flaw in curl 8.17.0–8.19.0
Plataforma
curl
Componente
curl
Corregido en
8.19.1
La vulnerabilidad CVE-2026-7009 afecta a la herramienta curl en versiones 8.17.0 hasta 8.19.0. Esta falla ocurre cuando curl utiliza la extensión de solicitud de estado del certificado (OCSP stapling) para verificar la validez de un certificado del servidor. En lugar de detectar problemas con la respuesta OCSP, curl la considera incorrectamente como válida, lo que podría permitir la aceptación de certificados inválidos. La vulnerabilidad ha sido publicada el 13 de mayo de 2026 y se recomienda actualizar a la versión 8.19.1.
Impacto y Escenarios de Ataque
Un atacante podría explotar esta vulnerabilidad para realizar ataques de intermediario (man-in-the-middle). Al presentar un certificado inválido pero con una respuesta OCSP manipulada, el atacante podría engañar a curl para que lo acepte como válido. Esto permitiría interceptar y modificar el tráfico de red entre el cliente y el servidor, comprometiendo la confidencialidad e integridad de los datos. La severidad de este impacto depende de la confianza que se deposite en curl para la verificación de certificados en entornos críticos, como la comunicación con servidores web sensibles o la verificación de la identidad de servidores de correo electrónico.
Contexto de Explotación
La vulnerabilidad fue publicada el 13 de mayo de 2026. La severidad del CVSS está pendiente de evaluación. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad la hace susceptible a explotación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar posibles campañas de explotación.
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.01% (1% percentil)
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para CVE-2026-7009 es actualizar a la versión 8.19.1 de curl o superior. Si la actualización no es inmediatamente posible, se recomienda deshabilitar temporalmente el soporte para OCSP stapling en curl, aunque esto reducirá la seguridad de la verificación de certificados. En algunos casos, se pueden aplicar reglas en un proxy o WAF para inspeccionar y bloquear respuestas OCSP sospechosas. Es crucial revisar la configuración de curl y los sistemas que lo utilizan para identificar posibles puntos de exposición.
Cómo corregirlotraduciendo…
Actualice a la versión 8.19.1 o superior para corregir la vulnerabilidad. Esta actualización aborda un problema donde curl no detectaba correctamente problemas de OCSP, lo que podría llevar a una validación incorrecta de certificados.
Preguntas frecuentes
What is CVE-2026-7009 — OCSP Stapling Flaw in curl?
CVE-2026-7009 es una vulnerabilidad en curl que falla al detectar problemas con las respuestas OCSP, permitiendo la aceptación de certificados inválidos.
Am I affected by CVE-2026-7009 in curl?
Si está utilizando curl en las versiones 8.17.0 hasta 8.19.0, es probable que esté afectado por esta vulnerabilidad.
How do I fix CVE-2026-7009 in curl?
La solución es actualizar a la versión 8.19.1 de curl o superior. Si no es posible, desactive temporalmente el soporte para OCSP stapling.
Is CVE-2026-7009 being actively exploited?
Aunque no se han reportado explotaciones activas, la naturaleza de la vulnerabilidad la hace susceptible a ataques. Se recomienda monitorear las fuentes de inteligencia de amenazas.
Where can I find the official curl advisory for CVE-2026-7009?
Consulte la página de seguridad de curl para obtener información oficial: [https://curl.se/security/](https://curl.se/security/)
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...