無料スキャン
分析待ちCVE-2026-4873

CVE-2026-4873: TLS Bypass in curl 8.12.0–8.19.0

プラットフォーム

curl

コンポーネント

curl

修正版

8.19.1

NVDで見る
保存

CVE-2026-4873は、curlにおいてTLS接続の再利用に関する脆弱性です。初期の平文接続が確立された後、その接続を再利用する際にTLSの検証がスキップされ、暗号化されていないデータが送信される可能性があります。この脆弱性はcurlバージョン8.12.0から8.19.0に影響を与え、バージョン8.19.1で修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はTLS保護を回避し、機密情報を盗み出す可能性があります。例えば、IMAP、SMTP、POP3などのプロトコルを使用するアプリケーションにおいて、平文で認証情報や機密データが送信される可能性があります。攻撃者は、中間者攻撃(Man-in-the-Middle attack)を実行し、暗号化されていないデータを傍受し、改ざんする可能性があります。この脆弱性の影響範囲は広範に及び、Webサーバー、メールサーバー、自動化スクリプトなど、curlを使用するあらゆるシステムに影響を及ぼす可能性があります。

悪用の状況

この脆弱性は、公開されているエクスプロイトコードが存在するかどうかは現時点では不明です。しかし、TLSのバイパスは一般的に悪用が容易であり、攻撃者による悪用が懸念されます。KEV(Kernel Exploitability Tracking)の評価はまだ行われていません。NVD(National Vulnerability Database)およびCISA(Cybersecurity and Infrastructure Security Agency)は、2026年5月13日にこの脆弱性を公開しました。

影響を受けるソフトウェア

コンポーネントcurl
ベンダーcurl
最小バージョン8.12.0
最大バージョン8.19.0
修正版8.19.1

弱点分類 (CWE)

CWE-319

タイムライン

  1. Reserved
  2. 公開日

緩和策と回避策

この脆弱性への対応策として、まずcurlをバージョン8.19.1以上にアップグレードすることを推奨します。アップグレードが困難な場合は、一時的な緩和策として、curlの接続プール設定を調整し、TLS接続の再利用を制限することを検討してください。また、WAF(Web Application Firewall)やプロキシサーバーを使用して、平文で送信される機密データの傍受を試みる攻撃を検知・遮断することも有効です。curlの設定ファイル(.curlrc)で--tlsv1.2--tlsv1.3オプションを指定することで、TLSのバージョンを明示的に指定し、脆弱なプロトコルネゴシエーションを回避できます。アップグレード後、curlのバージョンを確認し、TLS接続が正しく機能していることを確認してください。

修正方法翻訳中…

Actualice a la versión 8.19.1 o superior de curl para evitar la reutilización incorrecta de conexiones que ignora los requisitos de TLS. Esto asegura que las comunicaciones se cifren adecuadamente, protegiendo la confidencialidad de los datos transmitidos.

よくある質問

CVE-2026-4873 — TLS Bypass in curl 8.12.0–8.19.0とは何ですか?

CVE-2026-4873は、curl 8.12.0から8.19.0において、TLS接続が既存の暗号化されていない接続を誤って再利用し、平文でデータが送信される可能性がある脆弱性です。

CVE-2026-4873 in curl 8.12.0–8.19.0の影響を受けていますか?

curlのバージョンが8.12.0から8.19.0のいずれかである場合、この脆弱性の影響を受けています。バージョン8.19.1以上にアップグレードしてください。

CVE-2026-4873 in curl 8.12.0–8.19.0を修正するにはどうすればよいですか?

curlをバージョン8.19.1以上にアップグレードしてください。アップグレードが困難な場合は、一時的な緩和策として、curlの接続プール設定を調整するか、WAF/プロキシサーバーを使用してください。

CVE-2026-4873は積極的に悪用されていますか?

公開エクスプロイトコードの存在は確認されていませんが、TLSのバイパスは悪用が容易であるため、攻撃者による悪用が懸念されます。

CVE-2026-4873に関するcurlの公式アドバイザリはどこで入手できますか?

curlの公式アドバイザリは、curlのウェブサイト(https://curl.se/security/)で確認できます。CVE-2026-4873に関する情報も掲載されています。

あなたのプロジェクトは影響を受けていますか?

依存関係ファイルをアップロードすれば、このCVEや他のCVEがあなたに影響するか即座にわかります。

無料スキャンCVEを検索
scanZone.liveBadgescanZone.eyebrow

今すぐ試す — アカウント不要

Upload any manifest (composer.lock, package-lock.json, WordPress plugin list…) or paste your component list. You get a vulnerability report instantly. Uploading a file is just the start: with an account you get continuous monitoring, Slack/email alerts, multi-project and white-label reports.

手動スキャンSlack/メールアラートContinuous monitoringホワイトラベルレポート

依存関係ファイルをドラッグ&ドロップ

composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...