CVE-2026-5545: Connection Reuse Vulnerability in libcurl

该漏洞允许攻击者在应用程序首次使用协商认证 (Negotiate authentication) 后，通过构造特定的 HTTP(S) 请求，重用已认证但凭据不同的连接。攻击者可以利用此漏洞绕过身份验证机制，访问受保护的资源或执行未经授权的操作。例如，攻击者可能能够窃取敏感信息，例如用户凭据或财务数据。由于 libcurl 广泛应用于各种应用程序和服务，因此该漏洞的潜在影响范围非常广泛，可能影响到大量用户和组织。如果攻击者能够成功利用此漏洞，可能会导致数据泄露、服务中断和声誉损失。

1. 已保留2026-04-04
2. 发布日期2026-05-13
3. EPSS 更新日期2026-05-13

最有效的缓解措施是升级到 libcurl 8.19.1 或更高版本，该版本修复了此漏洞。如果无法立即升级，可以考虑以下临时缓解措施：首先，审查应用程序代码，确保正确处理认证和连接重用。其次，配置防火墙或代理服务器，限制对目标服务器的访问。第三，实施严格的访问控制策略，限制用户对敏感资源的访问权限。此外，可以考虑使用 Web 应用程序防火墙 (WAF) 来检测和阻止恶意请求。升级后，请务必验证新版本是否已成功部署，并确认漏洞已得到修复。