Platform
python
Component
curl-cffi
Opgelost in
0.15.1
0.15.0
CVE-2026-33752 beschrijft een Server-Side Request Forgery (SSRF) kwetsbaarheid in de Python-bibliotheek curl-cffi. Deze kwetsbaarheid stelt aanvallers in staat om interne services te benaderen, zelfs als deze niet direct toegankelijk zijn vanaf het internet. De kwetsbaarheid is van invloed op versies van curl-cffi tot en met 0.9.0b2. Een upgrade naar versie 0.15.0 of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van deze SSRF-kwetsbaarheid kan ernstige gevolgen hebben. Aanvallers kunnen interne services benaderen, zoals cloud metadata endpoints, en gevoelige informatie stelen. De TLS impersonatie functie van curl-cffi kan deze requests laten lijken op legitieme browserverkeer, waardoor bestaande netwerkbeveiligingsmaatregelen mogelijk worden omzeild. Dit kan leiden tot ongeautoriseerde toegang tot interne systemen en data, en mogelijk tot verdere aanvalsmogelijkheden, zoals het uitvoeren van commando's op interne servers. De impact is vergelijkbaar met scenario's waarbij een aanvaller via een webapplicatie toegang krijgt tot interne API's.
Deze kwetsbaarheid werd publiek bekendgemaakt op 2026-04-03. Er is momenteel geen informatie beschikbaar over actieve exploits in de wild. Er zijn geen publiekelijk beschikbare proof-of-concept exploits bekend. De ernst van de kwetsbaarheid is hoog, wat duidt op een potentieel risico voor systemen die curl-cffi gebruiken.
Applications and services that rely on the curl-cffi Python library for making HTTP requests are at risk. This includes web applications, automation scripts, and any other Python-based tools that utilize curl-cffi. Specifically, environments where curl-cffi is used to interact with cloud metadata endpoints or other internal services are particularly vulnerable.
• python / library:
import subprocess
result = subprocess.run(['pip', 'show', 'curl-cffi'], capture_output=True, text=True)
if 'Version:' in result.stdout:
version = result.stdout.split('Version:')[1].strip().split('\n')[0]
if version <= '0.9.0b2':
print('Vulnerable version of curl-cffi detected!')• generic web:
curl -I https://your-application-url/ | grep -i 'Server:'• generic web:
curl -I https://your-application-url/ | grep -i 'X-Powered-By:'disclosure
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-33752 is het upgraden van curl-cffi naar versie 0.15.0 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van tijdelijke maatregelen. Configureer een Web Application Firewall (WAF) of proxy om outbound requests naar interne IP-adressen te blokkeren. Controleer de configuratie van curl-cffi om te verzekeren dat redirects worden uitgeschakeld of beperkt. Monitor logbestanden op verdachte requests naar interne services. Na de upgrade, verifieer de fix door een testrequest te sturen naar een interne service via curl-cffi en controleer of deze wordt geblokkeerd.
Actualiseer de curl_cffi bibliotheek naar versie 0.15.0 of hoger om de kwetsbaarheid te mitigeren. Deze update beperkt verzoeken tot interne IP-bereiken en corrigeert het redirect probleem, waardoor ongeautoriseerde toegang tot interne services wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33752 is a HIGH severity SSRF vulnerability affecting the curl-cffi Python library, allowing attackers to redirect requests to internal services.
You are affected if you are using curl-cffi versions 0.9.0b2 or earlier. Upgrade to 0.15.0 or later to mitigate the risk.
Upgrade the curl-cffi library to version 0.15.0 or later. If upgrading is not possible, implement temporary workarounds like URL validation and WAF rules.
While no widespread exploitation has been confirmed, the SSRF nature of the vulnerability suggests a potential for exploitation.
Refer to the project's repository or related security advisories for the official advisory regarding CVE-2026-33752.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je requirements.txt-bestand en we vertellen je direct of je getroffen bent.