Plataforma
python
Componente
curl-cffi
Corrigido em
0.15.1
0.15.0
A vulnerabilidade CVE-2026-33752 é uma falha de Server-Side Request Forgery (SSRF) identificada na biblioteca curl-cffi, afetando versões até 0.9.0b2. Essa falha permite que atacantes redirecionem requisições para serviços internos, como endpoints de metadados de nuvem, potencialmente contornando medidas de segurança. A correção para esta vulnerabilidade está disponível na versão 0.15.0 da biblioteca.
Um atacante pode explorar esta vulnerabilidade para acessar recursos internos que normalmente não são acessíveis externamente. Ao manipular URLs, o atacante pode forçar o aplicativo a fazer requisições para endpoints de metadados de nuvem, bancos de dados internos ou outros serviços sensíveis. A funcionalidade de TLS impersonation do curl-cffi pode mascarar essas requisições, fazendo-as parecer como tráfego legítimo de um navegador, o que dificulta a detecção e prevenção. O potencial de impacto inclui a exfiltração de dados confidenciais, a escalada de privilégios e o comprometimento de sistemas internos.
A vulnerabilidade CVE-2026-33752 foi divulgada em 2026-04-03. Não há informações disponíveis sobre a inclusão em KEV ou a existência de exploits públicos. A probabilidade de exploração é considerada média, dada a natureza da SSRF e a facilidade de exploração em alguns casos. A ausência de um exploit público não garante a segurança, e a mitigação proativa é recomendada.
Applications and services that rely on the curl-cffi Python library for making HTTP requests are at risk. This includes web applications, automation scripts, and any other Python-based tools that utilize curl-cffi. Specifically, environments where curl-cffi is used to interact with cloud metadata endpoints or other internal services are particularly vulnerable.
• python / library:
import subprocess
result = subprocess.run(['pip', 'show', 'curl-cffi'], capture_output=True, text=True)
if 'Version:' in result.stdout:
version = result.stdout.split('Version:')[1].strip().split('\n')[0]
if version <= '0.9.0b2':
print('Vulnerable version of curl-cffi detected!')• generic web:
curl -I https://your-application-url/ | grep -i 'Server:'• generic web:
curl -I https://your-application-url/ | grep -i 'X-Powered-By:'disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
CISA SSVC
Vetor CVSS
A mitigação primária é atualizar a biblioteca curl-cffi para a versão 0.15.0 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar regras de firewall ou proxy para restringir o acesso a endpoints internos. Além disso, desative a funcionalidade de TLS impersonation, pois ela pode facilitar a exploração. Monitore logs de rede e de aplicação em busca de requisições suspeitas para endpoints internos. Após a atualização, confirme a correção verificando a versão da biblioteca e realizando testes de penetração para garantir que a vulnerabilidade foi efetivamente mitigada.
Atualize a biblioteca curl_cffi para a versão 0.15.0 ou superior para mitigar a vulnerabilidade. Esta atualização restringe as solicitações a intervalos de IP internos e corrige o problema de redirecionamento, prevenindo o acesso não autorizado a serviços internos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33752 is a HIGH severity SSRF vulnerability affecting the curl-cffi Python library, allowing attackers to redirect requests to internal services.
You are affected if you are using curl-cffi versions 0.9.0b2 or earlier. Upgrade to 0.15.0 or later to mitigate the risk.
Upgrade the curl-cffi library to version 0.15.0 or later. If upgrading is not possible, implement temporary workarounds like URL validation and WAF rules.
While no widespread exploitation has been confirmed, the SSRF nature of the vulnerability suggests a potential for exploitation.
Refer to the project's repository or related security advisories for the official advisory regarding CVE-2026-33752.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.