मुफ्त स्कैन करें
विश्लेषण प्रतीक्षितCVE-2026-7168

CVE-2026-7168: Digest Authentication Proxy Misconfiguration in libcurl

प्लेटफ़ॉर्म

c

घटक

curl

में ठीक किया गया

8.19.1

NVD पर देखें
सहेजें

CVE-2026-7168 libcurl में एक सुरक्षा भेद्यता है जो डाइजेस्ट प्रमाणीकरण का उपयोग करते समय प्रॉक्सी कॉन्फ़िगरेशन में त्रुटि के कारण उत्पन्न होती है। इस भेद्यता के कारण, एक हमलावर अनधिकृत हेडर जानकारी को एक प्रॉक्सी सर्वर से दूसरे पर भेज सकता है, जिससे संभावित रूप से संवेदनशील डेटा उजागर हो सकता है। यह भेद्यता libcurl के संस्करण 8.12.0 से लेकर 8.19.0 तक के संस्करणों को प्रभावित करती है, और इसे libcurl के संस्करण 8.19.1 में ठीक कर दिया गया है।

प्रभाव और हमले की स्थितियाँ

CVE-2026-7168 का शोषण करने वाला हमलावर libcurl का उपयोग करके HTTP प्रॉक्सी के माध्यम से डेटा ट्रांसफर करते समय अनधिकृत हेडर जानकारी को गलत तरीके से भेज सकता है। विशेष रूप से, यदि कोई एप्लिकेशन पहले एक प्रॉक्सी (proxyA) के साथ डाइजेस्ट प्रमाणीकरण का उपयोग करता है और फिर एक अलग प्रॉक्सी (proxyB) पर स्विच करता है, तो libcurl Proxy-Authorization: हेडर को proxyB को गलत तरीके से भेज सकता है। इससे हमलावर proxyB के लिए प्रमाणीकरण को बायपास कर सकते हैं और संवेदनशील डेटा तक पहुंच प्राप्त कर सकते हैं, जैसे कि पासवर्ड, कुकीज़, या अन्य गोपनीय जानकारी। इस भेद्यता का उपयोग आंतरिक नेटवर्क पर आगे बढ़ने या अन्य प्रणालियों तक पहुंचने के लिए भी किया जा सकता है, जिससे संभावित रूप से व्यापक क्षति हो सकती है।

शोषण संदर्भ

CVE-2026-7168 की गंभीरता का मूल्यांकन अभी भी किया जा रहा है। सार्वजनिक रूप से उपलब्ध शोषण कोड अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। CISA ने इस भेद्यता के बारे में कोई चेतावनी जारी नहीं की है। इस भेद्यता का शोषण करने की संभावना मध्यम है, क्योंकि यह libcurl के व्यापक उपयोग और डाइजेस्ट प्रमाणीकरण की कमजोरियों के कारण है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO

EPSS

0.03% (10% शतमक)

प्रभावित सॉफ्टवेयर

घटकcurl
विक्रेताcurl
न्यूनतम संस्करण8.12.0
अधिकतम संस्करण8.19.0
में ठीक किया गया8.19.1

कमजोरी वर्गीकरण (CWE)

CWE-294

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2026-7168 के प्रभाव को कम करने के लिए, libcurl को संस्करण 8.19.1 या बाद के संस्करण में अपग्रेड करना सबसे प्रभावी तरीका है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, एप्लिकेशन को प्रॉक्सी सर्वर के बीच स्विच करते समय प्रमाणीकरण जानकारी को स्पष्ट रूप से फिर से सेट करने के लिए संशोधित किया जा सकता है। इसके अतिरिक्त, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी सर्वर को कॉन्फ़िगर किया जा सकता है ताकि अनधिकृत हेडर जानकारी को फ़िल्टर किया जा सके। libcurl के पुराने संस्करणों का उपयोग करते समय, सुनिश्चित करें कि प्रॉक्सी सर्वर सुरक्षित हैं और मजबूत प्रमाणीकरण तंत्र का उपयोग करते हैं।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a la versión 8.19.1 o posterior de libcurl para evitar la fuga de estado de autenticación Digest. Esta vulnerabilidad permite que la información de autenticación de un proxy se transmita incorrectamente a otro proxy, lo que podría comprometer la seguridad de las comunicaciones.

अक्सर पूछे जाने वाले सवाल

CVE-2026-7168 — डाइजेस्ट प्रमाणीकरण भेद्यता libcurl में क्या है?

CVE-2026-7168 libcurl में एक भेद्यता है जहां डाइजेस्ट प्रमाणीकरण का उपयोग करते समय प्रॉक्सी सर्वर के बीच स्विच करते समय अनधिकृत हेडर जानकारी गलत तरीके से भेजी जा सकती है, जिससे संभावित रूप से संवेदनशील डेटा उजागर हो सकता है।

क्या मैं CVE-2026-7168 में libcurl से प्रभावित हूं?

यदि आप libcurl के संस्करण 8.12.0 से 8.19.0 का उपयोग कर रहे हैं और डाइजेस्ट प्रमाणीकरण के साथ प्रॉक्सी सर्वर का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हो सकते हैं।

मैं CVE-2026-7168 में libcurl को कैसे ठीक करूं?

CVE-2026-7168 को ठीक करने के लिए, libcurl को संस्करण 8.19.1 या बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड करना संभव नहीं है, तो प्रॉक्सी सर्वर के बीच स्विच करते समय प्रमाणीकरण जानकारी को स्पष्ट रूप से फिर से सेट करने के लिए एप्लिकेशन को संशोधित करें।

क्या CVE-2026-7168 सक्रिय रूप से शोषण किया जा रहा है?

हालांकि सार्वजनिक रूप से उपलब्ध शोषण कोड अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। वर्तमान में सक्रिय शोषण के बारे में कोई जानकारी उपलब्ध नहीं है।

मैं CVE-2026-7168 के लिए libcurl सलाहकार कहां पा सकता हूं?

आप libcurl सलाहकार को libcurl वेबसाइट पर पा सकते हैं: https://curl.se/security/.

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...