मुफ्त स्कैन करें
MEDIUMCVE-2026-4873

CVE-2026-4873: TLS Bypass in curl 8.12.0–8.19.0

प्लेटफ़ॉर्म

curl

घटक

curl

में ठीक किया गया

8.19.1

NVD पर देखें
सहेजें

curl में एक भेद्यता पाई गई है, जहाँ TLS कनेक्शन गलत तरीके से एक मौजूदा बिना एन्क्रिप्टेड कनेक्शन को उसी कनेक्शन पूल से पुन: उपयोग करता है। यदि कोई प्रारंभिक स्थानांतरण स्पष्ट पाठ में किया जाता है (IMAP, SMTP, या POP3 के माध्यम से), तो उस समान होस्ट के लिए एक बाद की अनुरोध TLS आवश्यकता को दरकिनार कर देती है और इसके बजाय डेटा बिना एन्क्रिप्टेड प्रसारित करती है। यह भेद्यता curl संस्करण 8.12.0 से 8.19.0 तक के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए curl को संस्करण 8.19.1 में अपग्रेड करने की सिफारिश की जाती है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को TLS एन्क्रिप्शन को दरकिनार करने और संवेदनशील डेटा को बिना एन्क्रिप्टेड रूप से इंटरसेप्ट करने की अनुमति देती है। उदाहरण के लिए, यदि कोई एप्लिकेशन IMAP, SMTP, या POP3 जैसे प्रोटोकॉल का उपयोग करता है और स्पष्ट पाठ में प्रारंभिक कनेक्शन स्थापित करता है, तो बाद के अनुरोधों को TLS द्वारा सुरक्षित नहीं किया जाएगा। इससे हमलावरों को उपयोगकर्ता नाम, पासवर्ड, ईमेल सामग्री और अन्य गोपनीय जानकारी को इंटरसेप्ट करने की अनुमति मिल सकती है। यह भेद्यता विशेष रूप से उन वातावरणों में गंभीर है जहाँ curl का उपयोग संवेदनशील डेटा को स्थानांतरित करने के लिए किया जाता है, जैसे कि वित्तीय लेनदेन या स्वास्थ्य सेवा रिकॉर्ड। इस भेद्यता का उपयोग नेटवर्क स्निफिंग और मैन-इन-द-मिडिल हमलों को अंजाम देने के लिए किया जा सकता है।

शोषण संदर्भ

CVE-2026-4873 की गंभीरता का मूल्यांकन अभी भी किया जा रहा है। सार्वजनिक रूप से उपलब्ध शोषण अभी तक ज्ञात नहीं हैं, लेकिन इस भेद्यता का शोषण करने के लिए हमलावरों के लिए अवसर मौजूद हैं, खासकर उन वातावरणों में जहाँ स्पष्ट पाठ कनेक्शन का उपयोग किया जाता है। CISA और NVD ने इस भेद्यता के बारे में जानकारी प्रकाशित की है।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO

EPSS

0.02% (6% शतमक)

प्रभावित सॉफ्टवेयर

घटकcurl
विक्रेताcurl
न्यूनतम संस्करण8.12.0
अधिकतम संस्करण8.19.0
में ठीक किया गया8.19.1

कमजोरी वर्गीकरण (CWE)

CWE-319

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. EPSS अद्यतन

शमन और वर्कअराउंड

CVE-2026-4873 को कम करने के लिए, curl को संस्करण 8.19.1 या बाद के संस्करण में अपग्रेड करने की सिफारिश की जाती है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी सर्वर को कॉन्फ़िगर किया जा सकता है ताकि स्पष्ट पाठ कनेक्शन को ब्लॉक किया जा सके या TLS एन्क्रिप्शन को लागू किया जा सके। इसके अतिरिक्त, सुनिश्चित करें कि curl का उपयोग करते समय हमेशा TLS कनेक्शन का उपयोग किया जाए और स्पष्ट पाठ कनेक्शन से बचें। अपग्रेड के बाद, यह सत्यापित करें कि TLS कनेक्शन ठीक से काम कर रहे हैं और डेटा एन्क्रिप्टेड है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice a la versión 8.19.1 o superior de curl para evitar la reutilización incorrecta de conexiones que ignora los requisitos de TLS. Esto asegura que las comunicaciones se cifren adecuadamente, protegiendo la confidencialidad de los datos transmitidos.

अक्सर पूछे जाने वाले सवाल

CVE-2026-4873 — TLS Bypass curl में क्या है?

CVE-2026-4873 curl में एक भेद्यता है जहाँ TLS कनेक्शन गलत तरीके से बिना एन्क्रिप्टेड कनेक्शन का पुन: उपयोग करते हैं, जिससे डेटा असुरक्षित रूप से प्रसारित होता है।

क्या मैं CVE-2026-4873 से curl में प्रभावित हूँ?

यदि आप curl के संस्करण 8.12.0 से 8.19.0 का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं CVE-2026-4873 में curl को कैसे ठीक करूँ?

CVE-2026-4873 को ठीक करने के लिए, curl को संस्करण 8.19.1 या बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF नियमों का उपयोग करें।

क्या CVE-2026-4873 सक्रिय रूप से शोषण किया जा रहा है?

CVE-2026-4873 का सक्रिय शोषण अभी तक ज्ञात नहीं है, लेकिन इस भेद्यता का शोषण करने के लिए हमलावरों के लिए अवसर मौजूद हैं।

मैं curl के लिए CVE-2026-4873 के लिए आधिकारिक सलाहकार कहाँ पा सकता हूँ?

आप curl की वेबसाइट पर CVE-2026-4873 के लिए आधिकारिक सलाहकार पा सकते हैं: [https://curl.se/security/advisories](https://curl.se/security/advisories)

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

कोई भी मैनिफेस्ट (composer.lock, package-lock.json, WordPress प्लगइन सूची…) अपलोड करें या अपनी कंपोनेंट सूची पेस्ट करें। आपको तुरंत एक भेद्यता रिपोर्ट मिलेगी। फ़ाइल अपलोड करना सिर्फ शुरुआत है: एक अकाउंट के साथ आपको निरंतर निगरानी, Slack/ईमेल अलर्ट, मल्टी-प्रोजेक्ट और व्हाइट-लेबल रिपोर्ट मिलती है।

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringव्हाइट-लेबल रिपोर्ट

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...