Plataforma
curl
Componente
curl
Corrigido em
7.51.1
A vulnerabilidade CVE-2016-8623 afeta o cURL em versões anteriores a 7.51.0. Esta falha de Divulgação de Informações ocorre devido à forma como o cURL gerencia cookies, permitindo que outras threads acionem um erro de 'use-after-free'. A atualização para a versão 7.51.0 resolve essa vulnerabilidade.
Um atacante pode explorar essa vulnerabilidade para obter acesso a informações sensíveis armazenadas na memória do cURL. Ao manipular cookies de forma maliciosa, um atacante pode induzir o cURL a liberar um bloco de memória e, posteriormente, tentar acessá-lo, resultando na divulgação de dados confidenciais. Embora classificada como de severidade baixa, a exploração bem-sucedida pode levar à exposição de credenciais, tokens de autenticação ou outros dados sensíveis, especialmente em aplicações que utilizam o cURL para comunicação de rede.
A vulnerabilidade foi divulgada em 2018. Não há evidências de exploração ativa em campanhas direcionadas. Não está listada no KEV da CISA. A existência de um proof-of-concept público pode aumentar o risco de exploração, embora não haja relatos confirmados de uso generalizado.
Applications and systems that rely on cURL for making HTTP requests are at risk. This includes web servers, automation scripts, and any software that integrates cURL for data transfer. Systems using older, unpatched versions of cURL are particularly vulnerable, especially those handling sensitive data through cookies.
• linux / server:
ps aux | grep curl
journalctl -u curl | grep -i error• generic web:
curl -I https://example.com # Check response headers for unusual patternsdiscovery
disclosure
Status do Exploit
Vetor CVSS
A mitigação primária para CVE-2016-8623 é atualizar o cURL para a versão 7.51.0 ou superior. Se a atualização imediata não for possível, considere implementar medidas de proteção adicionais, como restringir o acesso ao cURL apenas a fontes confiáveis e monitorar o tráfego de rede em busca de atividades suspeitas. Não há workarounds conhecidos além da atualização, portanto, priorize a aplicação do patch.
Atualize para a versão 7.51.0 ou posterior para mitigar o problema. A atualização corrige a forma como o cURL lida com cookies, evitando o uso incorreto de memória e a possível divulgação de informações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2016-8623 is a vulnerability in cURL versions 7.51.0 that allows attackers to trigger a use-after-free condition when handling cookies, potentially leading to information disclosure. The CVSS score is LOW.
You are affected if you are using cURL versions 7.51.0. Check your cURL version and upgrade if necessary.
Upgrade to cURL version 7.51.0 or later to resolve the vulnerability. This fix addresses the use-after-free condition in cookie handling.
While the vulnerability is known, there are no widespread reports of active exploitation. However, it remains a potential risk.
Refer to the cURL security advisories and the NVD entry for detailed information: [https://nvd.nist.gov/vuln/detail/CVE-2016-8623](https://nvd.nist.gov/vuln/detail/CVE-2016-8623)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.