Plateforme
curl
Composant
curl
Corrigé dans
7.51.1
Une vulnérabilité d'information disclosure a été découverte dans cURL avant la version 7.51.0. Cette faille est due à la manière dont cURL gère les cookies, permettant à d'autres threads de déclencher une utilisation après libération (use-after-free). Cette condition peut conduire à la divulgation d'informations sensibles. Les versions affectées sont celles antérieures à la version 7.51.0. La vulnérabilité a été corrigée dans la version 7.51.0.
L'exploitation réussie de cette vulnérabilité permet à un attaquant d'accéder à des informations sensibles stockées en mémoire. Plus précisément, la gestion incorrecte des cookies peut conduire à une utilisation après libération, ce qui signifie que des données peuvent être accédées même après avoir été libérées par le système. Bien que la sévérité soit classée comme faible, la divulgation d'informations peut compromettre la confidentialité des données sensibles, telles que des identifiants de session ou des données d'authentification. L'impact est amplifié dans les environnements où cURL est utilisé pour accéder à des ressources sensibles sur le réseau.
Cette vulnérabilité n'est pas actuellement répertoriée sur KEV. Le score CVSS de Faible indique une probabilité d'exploitation relativement faible. Il n'existe pas de proof-of-concept (PoC) public connu à ce jour. La vulnérabilité a été publiée le 1er août 2018. Bien que la vulnérabilité soit connue, son exploitation active n'a pas été signalée.
Applications and systems that rely on cURL for making HTTP requests are at risk. This includes web servers, automation scripts, and any software that integrates cURL for data transfer. Systems using older, unpatched versions of cURL are particularly vulnerable, especially those handling sensitive data through cookies.
• linux / server:
ps aux | grep curl
journalctl -u curl | grep -i error• generic web:
curl -I https://example.com # Check response headers for unusual patternsdiscovery
disclosure
Statut de l'Exploit
Vecteur CVSS
La mitigation principale consiste à mettre à jour cURL vers la version 7.51.0 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, il est recommandé d'examiner attentivement la configuration de cURL pour s'assurer que la gestion des cookies est correctement configurée et que les cookies sensibles sont correctement protégés. Il n'existe pas de contournement direct, la mise à jour est impérative. Après la mise à jour, vérifiez que la version de cURL est bien la version corrigée en utilisant la commande curl --version.
Mettez à jour vers la version 7.51.0 ou ultérieure pour atténuer le problème. La mise à jour corrige la manière dont cURL gère les cookies, évitant ainsi l'utilisation incorrecte de la mémoire et la possible divulgation d'informations.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2016-8623 is a vulnerability in cURL versions 7.51.0 that allows attackers to trigger a use-after-free condition when handling cookies, potentially leading to information disclosure. The CVSS score is LOW.
You are affected if you are using cURL versions 7.51.0. Check your cURL version and upgrade if necessary.
Upgrade to cURL version 7.51.0 or later to resolve the vulnerability. This fix addresses the use-after-free condition in cookie handling.
While the vulnerability is known, there are no widespread reports of active exploitation. However, it remains a potential risk.
Refer to the cURL security advisories and the NVD entry for detailed information: [https://nvd.nist.gov/vuln/detail/CVE-2016-8623](https://nvd.nist.gov/vuln/detail/CVE-2016-8623)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.