Viktor Szakats

**Nome do software vulnerável e versões afetadas** Versões do curl de 7.1.1 a 7.75.0 **Descrição** O problema está relacionado à exposição de informações pessoais privadas a um agente não autorizado por meio do vazamento de credenciais no cabeçalho HTTP `Referer:`. O libcurl não remove as credenciais do usuário da URL ao preencher automaticamente o campo de cabeçalho de solicitação HTTP `Referer:` em solicitações HTTP de saída e, portanto, corre o risco de vazar dados confidenciais para o servidor que é o destino da segunda solicitação HTTP. Isso pode ser explorado por um invasor remoto para obter acesso a dados confidenciais. **Recomendações** Para as versões 7.1.1 a 7.75.0 do curl, considere desativar o preenchimento automático do campo de cabeçalho de solicitação HTTP `Referer:` não definindo a opção `CURLOPT AUTOREFERER` ou não utilizando a opção `--referer “;auto”` com a ferramenta curl, até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.