Plateforme
python
Composant
curl-cffi
Corrigé dans
0.15.1
0.15.0
La vulnérabilité CVE-2026-33752 est une faille de type SSRF (Server-Side Request Forgery) affectant la bibliothèque curl-cffi. Cette faille permet à un attaquant de manipuler les requêtes sortantes, les redirigeant potentiellement vers des services internes sensibles. Les versions de curl-cffi concernées sont celles inférieures ou égales à 0.9.0b2. Une version corrigée, 0.15.0, est désormais disponible.
Cette vulnérabilité SSRF est particulièrement préoccupante car elle permet à un attaquant d'accéder à des ressources internes qui ne sont normalement pas accessibles depuis l'extérieur. L'attaquant peut exploiter cette faille pour interroger des points de terminaison de métadonnées cloud, récupérer des informations d'identification sensibles ou même compromettre des services internes. La fonction d'impersonation TLS de curl-cffi peut masquer ces requêtes, les faisant apparaître comme du trafic légitime provenant d'un navigateur, ce qui rend la détection plus difficile. Un scénario d'attaque typique consisterait à injecter une URL malveillante qui redirige la requête vers un service interne, permettant ainsi à l'attaquant de lire des données confidentielles ou d'exécuter des actions non autorisées.
La vulnérabilité CVE-2026-33752 a été publiée le 3 avril 2026. Il n'y a pas d'indication d'une exploitation active à ce jour. Aucun PoC public n'a été identifié à la date de cette analyse. La probabilité d'exploitation est considérée comme moyenne, en raison de la nature de la vulnérabilité SSRF et de la possibilité d'exploitation via des redirections.
Applications and services that rely on the curl-cffi Python library for making HTTP requests are at risk. This includes web applications, automation scripts, and any other Python-based tools that utilize curl-cffi. Specifically, environments where curl-cffi is used to interact with cloud metadata endpoints or other internal services are particularly vulnerable.
• python / library:
import subprocess
result = subprocess.run(['pip', 'show', 'curl-cffi'], capture_output=True, text=True)
if 'Version:' in result.stdout:
version = result.stdout.split('Version:')[1].strip().split('\n')[0]
if version <= '0.9.0b2':
print('Vulnerable version of curl-cffi detected!')• generic web:
curl -I https://your-application-url/ | grep -i 'Server:'• generic web:
curl -I https://your-application-url/ | grep -i 'X-Powered-By:'disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour curl-cffi vers la version 0.15.0 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de mettre en place des mesures de contournement temporaires. Il est possible de configurer un pare-feu d'application web (WAF) pour bloquer les requêtes contenant des URLs suspectes ou des redirections vers des adresses IP internes. De plus, il est conseillé de limiter les privilèges de l'application utilisant curl-cffi afin de réduire l'impact potentiel d'une exploitation réussie. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en effectuant un test de pénétration ciblé.
Mettez à jour la librairie curl_cffi à la version 0.15.0 ou supérieure pour atténuer la vulnérabilité. Cette mise à jour restreint les requêtes aux plages d'IP internes et corrige le problème de redirection, empêchant l'accès non autorisé aux services internes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33752 is a HIGH severity SSRF vulnerability affecting the curl-cffi Python library, allowing attackers to redirect requests to internal services.
You are affected if you are using curl-cffi versions 0.9.0b2 or earlier. Upgrade to 0.15.0 or later to mitigate the risk.
Upgrade the curl-cffi library to version 0.15.0 or later. If upgrading is not possible, implement temporary workarounds like URL validation and WAF rules.
While no widespread exploitation has been confirmed, the SSRF nature of the vulnerability suggests a potential for exploitation.
Refer to the project's repository or related security advisories for the official advisory regarding CVE-2026-33752.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.