CVE-2026-5545: कनेक्शन पुन: उपयोग त्रुटि libcurl में
प्लेटफ़ॉर्म
c
घटक
curl
में ठीक किया गया
8.19.1
CVE-2026-5545 libcurl में एक सुरक्षा भेद्यता है जो कुछ परिस्थितियों में गलत कनेक्शन के पुन: उपयोग का कारण बन सकती है। यह तब हो सकता है जब कोई एप्लिकेशन प्रमाणित HTTP(S) अनुरोध करने के लिए libcurl का उपयोग करता है, जिसके बाद Negotiate-प्रमाणीकृत अनुरोध होता है, और दोनों एक ही होस्ट का उपयोग करते हैं। इससे संवेदनशील डेटा का समझौता हो सकता है। यह भेद्यता libcurl के संस्करण 8.12.0 से 8.19.0 तक के संस्करणों को प्रभावित करती है और इसे libcurl के संस्करण 8.19.1 में ठीक किया गया है।
प्रभाव और हमले की स्थितियाँ
इस भेद्यता का शोषण करने वाला एक हमलावर अलग-अलग क्रेडेंशियल्स के साथ प्रमाणित कनेक्शन को पुनः उपयोग करने के लिए libcurl को धोखा दे सकता है। इसका मतलब है कि हमलावर एक एप्लिकेशन के लिए एक अलग उपयोगकर्ता के रूप में कार्य कर सकता है, भले ही उनके पास उस उपयोगकर्ता के लिए वैध क्रेडेंशियल्स न हों। यह हमलावर को संवेदनशील डेटा तक पहुंचने या सिस्टम पर अनधिकृत कार्रवाई करने की अनुमति दे सकता है। उदाहरण के लिए, एक हमलावर किसी अन्य उपयोगकर्ता के खाते से डेटा डाउनलोड कर सकता है, या किसी अन्य उपयोगकर्ता की ओर से सिस्टम कॉन्फ़िगरेशन बदल सकता है। इस भेद्यता का प्रभाव व्यापक हो सकता है, क्योंकि libcurl का उपयोग कई अलग-अलग अनुप्रयोगों में किया जाता है।
शोषण संदर्भ
CVE-2026-5545 को अभी तक सक्रिय रूप से शोषण करने के लिए जाना नहीं जाता है, लेकिन यह संभावित रूप से गंभीर है क्योंकि यह कनेक्शन पुन: उपयोग के कारण प्रमाणीकरण को दरकिनार करने की अनुमति दे सकता है। इस भेद्यता की गंभीरता का मूल्यांकन अभी भी किया जा रहा है। CISA और NVD ने इस भेद्यता के बारे में जानकारी प्रकाशित की है। सार्वजनिक रूप से उपलब्ध शोषण प्रमाण का अस्तित्व नहीं है, लेकिन भेद्यता की प्रकृति के कारण इसका शोषण किया जा सकता है।
खतरा खुफिया
एक्सप्लॉइट स्थिति
EPSS
0.04% (13% शतमक)
प्रभावित सॉफ्टवेयर
कमजोरी वर्गीकरण (CWE)
समयरेखा
- आरक्षित
- प्रकाशित
- EPSS अद्यतन
शमन और वर्कअराउंड
CVE-2026-5545 को कम करने के लिए, libcurl को संस्करण 8.19.1 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग किया जा सकता है ताकि उन अनुरोधों को ब्लॉक किया जा सके जो गलत कनेक्शन के पुन: उपयोग का प्रयास करते हैं। इसके अतिरिक्त, एप्लिकेशन कोड की समीक्षा करना और यह सुनिश्चित करना महत्वपूर्ण है कि यह कनेक्शन के पुन: उपयोग को सही ढंग से संभालता है। इस भेद्यता के लिए कोई विशिष्ट सिग्मा या YARA पैटर्न ज्ञात नहीं हैं, लेकिन कनेक्शन पुन: उपयोग से संबंधित असामान्य व्यवहार की निगरानी करना उचित है। अपग्रेड के बाद, यह सत्यापित करें कि कनेक्शन पुन: उपयोग त्रुटि अब नहीं हो रही है, कनेक्शन लॉग की समीक्षा करके।
कैसे ठीक करेंअनुवाद हो रहा है…
Actualice a la versión 8.19.1 o posterior para evitar la reutilización incorrecta de conexiones HTTP Negotiate. Esta vulnerabilidad permite que un atacante potencialmente robe credenciales al reutilizar conexiones autenticadas incorrectamente. Verifique las fuentes oficiales de libcurl para obtener instrucciones de actualización específicas para su sistema operativo.
अक्सर पूछे जाने वाले सवाल
CVE-2026-5545 — कनेक्शन पुन: उपयोग त्रुटि libcurl में क्या है?
CVE-2026-5545 libcurl में एक भेद्यता है जो हमलावरों को अलग-अलग क्रेडेंशियल्स के साथ प्रमाणित कनेक्शन को पुनः उपयोग करने की अनुमति दे सकती है, जिससे संवेदनशील डेटा का समझौता हो सकता है।
क्या मैं CVE-2026-5545 में libcurl से प्रभावित हूं?
यदि आप libcurl के संस्करण 8.12.0 से 8.19.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
मैं CVE-2026-5545 में libcurl को कैसे ठीक करूं?
CVE-2026-5545 को ठीक करने के लिए, libcurl को संस्करण 8.19.1 या बाद के संस्करण में तुरंत अपडेट करें।
क्या CVE-2026-5545 सक्रिय रूप से शोषण किया जा रहा है?
CVE-2026-5545 को अभी तक सक्रिय रूप से शोषण करने के लिए जाना नहीं जाता है, लेकिन यह संभावित रूप से गंभीर है और इसका शोषण किया जा सकता है।
मैं CVE-2026-5545 के लिए libcurl सलाहकार कहां पा सकता हूं?
आप libcurl सलाहकार को libcurl वेबसाइट पर पा सकते हैं: https://curl.se/security/.
क्या आपका प्रोजेक्ट प्रभावित है?
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अभी आज़माएँ — no खाता
scanZone.subtitle
अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...