PT-2021-4913 · Curl+10 · Curl+10
Publicado
2021-09-15
·
Atualizado
2026-05-18
·
CVE-2021-22946
CVSS v2.0
8.5
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:P/A:N |
Nome do software vulnerável e versões afetadas
Versões do curl de 7.20.0 a 7.78.0
Descrição
A vulnerabilidade permite que um invasor contorne a exigência de uma atualização bem-sucedida para TLS ao se comunicar com um servidor IMAP, POP3 ou FTP. Isso pode ocorrer se o servidor retornar uma resposta elaborada de forma maliciosa, mas perfeitamente legítima. Como resultado, o curl pode continuar silenciosamente suas operações sem TLS, contrariando as instruções e expectativas, expondo potencialmente dados confidenciais em texto simples pela rede. A vulnerabilidade pode ser explorada por um invasor remoto para realizar ataques man-in-the-middle.
Recomendações
Para as versões 7.20.0 a 7.78.0 do curl, atualize para a versão 7.79.1 ou posterior para resolver o problema.
Como solução temporária, considere desativar a opção
--ssl-reqd ou a configuração CURLOPT USE SSL até que um patch esteja disponível.Restrinja o acesso ao componente
libcurl vulnerável para minimizar o risco de exploração.Evite usar a opção
CURLOPT USE SSL com as configurações CURLUSESSL CONTROL ou CURLUSESSL ALL até que o problema seja resolvido.Exploit
Correção
DoS
Cleartext Transmission of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Centos
Linuxmint
Apple Macos
Mysql Server
Red Hat
Rocky Linux
Suse
Ubuntu
Curl