Scanner gratuitement
Analyse en attenteCVE-2026-7168

CVE-2026-7168: Information Disclosure in libcurl

Plateforme

c

Composant

curl

Corrigé dans

8.19.1

Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-7168 affecte les versions de libcurl comprises entre 8.12.0 et 8.19.0. Elle se manifeste lors de l'utilisation de plusieurs proxys avec authentification Digest. Un envoi incorrect de l'en-tête Proxy-Authorization à un proxy cible peut entraîner une divulgation d'informations d'authentification sensibles. La mise à jour vers la version 8.19.1 corrige cette faille.

Impact et Scénarios d'Attaque

Cette vulnérabilité permet à un attaquant d'intercepter ou de compromettre les informations d'authentification utilisées pour accéder à des ressources via un proxy. En modifiant le proxy cible après une authentification Digest réussie, libcurl peut transmettre l'en-tête Proxy-Authorization incorrect au nouveau proxy. Cela peut permettre à un attaquant d'accéder à des ressources auxquelles il ne devrait pas avoir accès, potentiellement en contournant les mécanismes d'authentification du proxy cible. L'impact est particulièrement critique dans les environnements où l'authentification Digest est utilisée pour sécuriser l'accès aux ressources internes ou sensibles.

Contexte d'Exploitation

La vulnérabilité a été publiée le 13 mai 2026. La probabilité d'exploitation est actuellement considérée comme faible en raison de la nécessité d'une configuration spécifique (utilisation de plusieurs proxys avec authentification Digest). Il n'y a pas d'indicateurs d'exploitation active à ce jour. La vulnérabilité n'est pas répertoriée sur KEV ni sur EPSS.

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO

EPSS

0.03% (percentile 10%)

Logiciel Affecté

Composantcurl
Fournisseurcurl
Version minimale8.12.0
Version maximale8.19.0
Corrigé dans8.19.1

Classification de Faiblesse (CWE)

CWE-294

Chronologie

  1. Réservé
  2. Publiée
  3. EPSS mis à jour

Mitigation et Contournements

La mitigation principale consiste à mettre à jour libcurl vers la version 8.19.1 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, envisagez de désactiver temporairement l'authentification Digest si elle n'est pas absolument nécessaire. Une autre approche consiste à configurer les applications pour qu'elles créent une nouvelle instance de libcurl pour chaque proxy, évitant ainsi la réutilisation du même handle. Surveillez les journaux d'accès aux proxys pour détecter des tentatives d'accès non autorisées.

Comment corrigertraduction en cours…

Actualice a la versión 8.19.1 o posterior de libcurl para evitar la fuga de estado de autenticación Digest. Esta vulnerabilidad permite que la información de autenticación de un proxy se transmita incorrectamente a otro proxy, lo que podría comprometer la seguridad de las comunicaciones.

Questions fréquentes

Qu'est-ce que CVE-2026-7168 — Information Disclosure dans libcurl ?

CVE-2026-7168 est une vulnérabilité d'information disclosure dans libcurl, affectant les versions 8.12.0–8.19.0. Elle permet l'envoi incorrect de l'en-tête Proxy-Authorization à un proxy différent, exposant potentiellement des informations d'authentification.

Suis-je affecté par CVE-2026-7168 dans libcurl ?

Vous êtes affecté si vous utilisez libcurl dans les versions 8.12.0 à 8.19.0 et que votre application utilise plusieurs proxys avec authentification Digest.

Comment corriger CVE-2026-7168 dans libcurl ?

La solution est de mettre à jour libcurl vers la version 8.19.1 ou ultérieure. Si la mise à jour n'est pas possible immédiatement, envisagez des mesures d'atténuation temporaires comme la désactivation de l'authentification Digest.

CVE-2026-7168 est-il activement exploité ?

À l'heure actuelle, il n'y a pas d'indications d'exploitation active de CVE-2026-7168, mais la vulnérabilité reste présente dans les versions affectées.

Où puis-je trouver l'avis officiel de libcurl pour CVE-2026-7168 ?

Consultez le site web de libcurl ou les canaux de sécurité de votre distribution Linux pour obtenir l'avis officiel concernant CVE-2026-7168.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE
en directfree scan

Essayez maintenant — sans compte

scanZone.subtitle

Scan manuelSlack/email alertsContinuous monitoringWhite-label reports

Glissez-déposez votre fichier de dépendances

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...