curl के संस्करण 7.51.0 से पहले एक त्रुटि पाई गई। curl कुकीज़ को जिस तरह से संभालता है, वह अन्य थ्रेड्स को use-after-free को ट्रिगर करने की अनुमति देता है, जिससे जानकारी का खुलासा हो सकता है।

यह भेद्यता हमलावर को संवेदनशील जानकारी तक पहुंचने की अनुमति दे सकती है, जो cURL का उपयोग करने वाले अनुप्रयोगों के भीतर संग्रहीत है। चूंकि cURL व्यापक रूप से उपयोग किया जाता है, इसलिए कई एप्लिकेशन इस भेद्यता से प्रभावित हो सकते हैं। हमलावर कुकीज़ को इस तरह से हेरफेर कर सकता है कि उपयोग-बाद-मुक्त (use-after-free) त्रुटि को ट्रिगर किया जा सके, जिससे मेमोरी में संग्रहीत डेटा का खुलासा हो सके। यह डेटा उपयोगकर्ता क्रेडेंशियल, सत्र टोकन या अन्य संवेदनशील जानकारी हो सकती है। इस भेद्यता का शोषण करने के लिए हमलावर को cURL का उपयोग करने वाले एप्लिकेशन के साथ बातचीत करने में सक्षम होना चाहिए।

Applications and systems that rely on cURL for making HTTP requests are at risk. This includes web servers, automation scripts, and any software that integrates cURL for data transfer. Systems using older, unpatched versions of cURL are particularly vulnerable, especially those handling sensitive data through cookies.

• linux / server:

ps aux | grep curl
journalctl -u curl | grep -i error

• generic web:

curl -I https://example.com  # Check response headers for unusual patterns

1. 2016-00-00Discovery

   discovery

2. 2018-08-01Disclosure

   disclosure

1. आरक्षित2016-10-12
2. प्रकाशित2018-08-01
3. संशोधित2026-04-16

CVE-2016-8623 को कम करने के लिए, cURL को संस्करण 7.51.0 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग कुकीज़ को फ़िल्टर करने और दुर्भावनापूर्ण अनुरोधों को अवरुद्ध करने के लिए किया जा सकता है। इसके अतिरिक्त, cURL का उपयोग करने वाले अनुप्रयोगों में इनपुट सत्यापन और आउटपुट एन्कोडिंग को मजबूत करना महत्वपूर्ण है ताकि कुकीज़ में हेरफेर को रोका जा सके। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को सफलतापूर्वक संबोधित किया गया है, cURL संस्करण की जांच करें।