描述:
cURL 是一款广泛应用的多功能开源命令行工具,它使用 URL 语法传输数据,支持包括 SSL、TLS、HTTP、FTP、SMTP 在内的多种网络协议。libcurl 是 cURL 的强大驱动库,它是一个免费的客户端 URL 传输库,也支持广泛的协议。这两者在开发人员和系统管理员中极为常见,用于与 API 交互、下载文件以及创建基于互联网的自动化工作流程。
cURL 和 libcurl 已确认存在一项严重的安全漏洞,标识为 CVE-2023-38545。等级严重的漏洞,可能允许攻击者在满足特定条件的情况下执行恶意代码或进行其他未授权的操作。
影响范围:
cURL 是一个已有 25 年历史的软件项目,是一种非常流行的基础软件,但libcurl 可能是世界上最受欢迎和使用最广泛的HTTP客户端库,安装量超过100亿次。
几乎所有连接互联网的设备都在使用它。这包括大多数操作系统、服务器、医疗设备、服务器、打印机,甚至汽车、游戏机和智能手表等。
版本 < Curl 8.4.0
漏洞POC:
暂无
修复方案:
将于于10 月 11 日发布 url 8.4.0中修复该漏洞。请大家关注
漏洞参考:
https://github.com/curl/curl/discussions/12026
原创文章,作者:首席安全官,如若转载,请注明出处:https://www.cncso.com/cve-2023-38545-curl-and-libcurl-library-security-vulnerabilities.html
