CVE-2026-7168 是 libcurl 库中的一个漏洞,允许攻击者通过代理欺骗绕过身份验证。该漏洞源于在切换 HTTP 代理时,libcurl 错误地将身份验证标头传递给新的代理。受影响的版本包括 8.12.0 到 8.19.0。建议升级到 8.19.1 版本以解决此问题。
影响与攻击场景
此漏洞允许攻击者在中间人攻击中,伪造代理服务器,从而窃取敏感数据或篡改网络流量。攻击者可以拦截并修改通过受影响系统发送到目标服务器的请求,而目标服务器可能不会意识到攻击的存在。例如,攻击者可以利用此漏洞窃取包含用户名和密码的凭据,或者修改应用程序的配置信息。由于 libcurl 被广泛应用于各种应用程序和服务中,因此该漏洞的潜在影响范围非常广泛,可能影响到大量用户和系统。
利用背景
目前尚未公开披露此漏洞的利用细节,但由于其潜在影响,该漏洞可能成为攻击者的目标。该漏洞已发布到 NVD 数据库,CISA 也发布了相关安全公告。由于缺乏公开的利用代码,目前评估其利用概率为中等。
威胁情报
漏洞利用状态
EPSS
0.03% (10% 百分位)
受影响的软件
弱点分类 (CWE)
时间线
- 已保留
- 发布日期
- EPSS 更新日期
缓解措施和替代方案
最有效的缓解措施是升级到 libcurl 8.19.1 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:禁用 Digest 身份验证,或者在应用程序代码中显式地为每个代理服务器设置身份验证标头。此外,可以配置 Web 应用防火墙 (WAF) 或代理服务器,以检测和阻止包含恶意 Proxy-Authorization 标头的请求。在升级后,请验证 libcurl 版本以确认漏洞已成功修复。
修复方法翻译中…
Actualice a la versión 8.19.1 o posterior de libcurl para evitar la fuga de estado de autenticación Digest. Esta vulnerabilidad permite que la información de autenticación de un proxy se transmita incorrectamente a otro proxy, lo que podría comprometer la seguridad de las comunicaciones.
常见问题
什么是 CVE-2026-7168 — Digest 身份验证代理欺骗漏洞在 libcurl 中的问题?
CVE-2026-7168 是 libcurl 库中的一个漏洞,允许攻击者通过代理欺骗绕过身份验证。当使用 Digest 身份验证通过特定 HTTP 代理进行传输,然后将代理主机更改时,libcurl 会错误地将身份验证标头传递给新的代理。
我是否受到 CVE-2026-7168 在 libcurl 中的影响?
如果您的系统运行 libcurl 8.12.0 到 8.19.0 版本,则可能受到此漏洞的影响。请尽快升级到 8.19.1 或更高版本。
如何修复 CVE-2026-7168 在 libcurl 中的问题?
最有效的修复方法是升级到 libcurl 8.19.1 或更高版本。如果无法立即升级,可以考虑禁用 Digest 身份验证或在应用程序代码中显式地设置身份验证标头。
CVE-2026-7168 是否正在被积极利用?
目前尚未公开披露此漏洞的利用细节,但由于其潜在影响,该漏洞可能成为攻击者的目标。建议采取预防措施以降低风险。
在哪里可以找到 libcurl 官方关于 CVE-2026-7168 的安全公告?
请访问 libcurl 官方网站或 NVD 数据库,搜索 CVE-2026-7168 以获取更多信息和官方安全公告。
立即试用 — 无需账户
上传任何清单文件 (composer.lock, package-lock.json, WordPress 插件列表…) 或粘贴您的组件列表。您立即获得一份漏洞报告。上传文件只是开始:拥有账户后,您将获得持续监控、Slack/电子邮件警报、多项目和白标报告。
拖放您的依赖文件
composer.lock、package-lock.json、requirements.txt、Gemfile.lock、pubspec.lock、Dockerfile...