Escanear grátis
Análise pendenteCVE-2026-7168

CVE-2026-7168: Digest Authentication Proxy Spoofing em libcurl

Plataforma

c

Componente

curl

Corrigido em

8.19.1

Ver no NVD
Salvar

A vulnerabilidade CVE-2026-7168 afeta a biblioteca libcurl nas versões entre 8.12.0 e 8.19.0. Ela permite que um atacante explore um erro no tratamento de autenticação Digest ao usar múltiplos proxies. Essa falha pode levar ao envio inadvertido de credenciais de autenticação para o proxy errado, comprometendo a segurança das requisições HTTP. A correção foi disponibilizada na versão 8.19.1.

Impacto e Cenários de Ataque

Um atacante pode explorar essa vulnerabilidade ao interceptar ou manipular o tráfego HTTP entre uma aplicação e um proxy. Ao configurar uma sequência de requisições através de proxies distintos, com autenticação Digest, o atacante pode induzir libcurl a enviar as credenciais de autenticação do primeiro proxy para o segundo, mesmo que não seja o proxy esperado. Isso pode permitir o acesso não autorizado a recursos protegidos pelo segundo proxy, ou a execução de ações em nome do usuário autenticado no primeiro proxy. O impacto potencial varia dependendo da sensibilidade dos recursos acessíveis através dos proxies envolvidos, podendo incluir roubo de dados confidenciais, modificação de informações ou até mesmo a execução de código malicioso.

Contexto de Exploração

A vulnerabilidade foi publicada em 2026-05-13. A probabilidade de exploração (EPSS) está pendente de avaliação. Não há relatos públicos de exploração ativa ou campanhas direcionadas conhecidas no momento. A vulnerabilidade não está listada no KEV (Kernel Exploit Vulnerability Database). Consulte o aviso oficial do projeto libcurl para obter mais informações.

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO

EPSS

0.03% (percentil 10%)

Software Afetado

Componentecurl
Fornecedorcurl
Versão mínima8.12.0
Versão máxima8.19.0
Corrigido em8.19.1

Classificação de Fraqueza (CWE)

CWE-294

Linha do tempo

  1. Reservado
  2. Publicada
  3. EPSS atualizado

Mitigação e Soluções Alternativas

A mitigação primária para CVE-2026-7168 é a atualização para a versão 8.19.1 ou superior da biblioteca libcurl. Em ambientes onde a atualização imediata não é possível, considere implementar medidas de proteção adicionais, como a validação rigorosa das respostas dos proxies e a limitação do acesso aos recursos protegidos. A utilização de um Web Application Firewall (WAF) com regras para detectar e bloquear requisições HTTP maliciosas também pode ajudar a mitigar o risco. Verifique se a configuração do proxy está correta e se a autenticação Digest é realmente necessária.

Como corrigirtraduzindo…

Actualice a la versión 8.19.1 o posterior de libcurl para evitar la fuga de estado de autenticación Digest. Esta vulnerabilidad permite que la información de autenticación de un proxy se transmita incorrectamente a otro proxy, lo que podría comprometer la seguridad de las comunicaciones.

Perguntas frequentes

O que é CVE-2026-7168 — Digest Authentication Proxy Spoofing em libcurl?

CVE-2026-7168 é uma vulnerabilidade em libcurl que permite o envio incorreto de credenciais de autenticação Digest para proxies diferentes, comprometendo a segurança das requisições HTTP. Afeta versões entre 8.12.0 e 8.19.0.

Estou afetado por CVE-2026-7168 em libcurl?

Se você estiver utilizando libcurl nas versões 8.12.0 a 8.19.0 e realizar requisições HTTP através de proxies com autenticação Digest, você pode estar afetado. Verifique a versão instalada e considere a atualização.

Como corrigir CVE-2026-7168 em libcurl?

A correção é atualizar para a versão 8.19.1 ou superior da biblioteca libcurl. Em ambientes onde a atualização imediata não é possível, implemente medidas de proteção adicionais, como validação de respostas e WAF.

CVE-2026-7168 está sendo ativamente explorado?

Até o momento, não há relatos públicos de exploração ativa ou campanhas direcionadas conhecidas relacionadas a CVE-2026-7168. No entanto, a vulnerabilidade permanece presente em sistemas desatualizados.

Onde posso encontrar o aviso oficial da libcurl para CVE-2026-7168?

Consulte o site oficial do projeto libcurl para obter informações detalhadas e o aviso de segurança: [https://curl.se/security/](https://curl.se/security/)

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs
ao vivoverificação gratuita

Experimente agora — sem conta

Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.

Escaneamento manualAlertas por Slack/e-mailMonitoramento ContínuoRelatórios de marca branca

Arraste e solte seu arquivo de dependências

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...