PT-2021-5833 · Curl+10 · Curl+10
Publicado
2021-07-21
·
Atualizado
2026-05-18
·
CVE-2021-22925
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
curl (versões afetadas não especificadas)
Descrição
O problema está relacionado ao uso de um recurso não inicializado na ferramenta de linha de comando cURL. Ele afeta a opção de linha de comando
-t, também conhecida como CURLOPT TELNETOPTIONS na libcurl, que é usada para enviar pares variável=conteúdo para servidores TELNET. Devido a uma falha no analisador de opções para o envio de variáveis NEW ENV, a libcurl poderia ser levada a passar dados não inicializados de um buffer baseado em pilha para o servidor, revelando potencialmente informações internas confidenciais ao servidor por meio de um protocolo de rede de texto simples. Isso poderia ocorrer porque o curl não chamou e utilizou sscanf() corretamente ao analisar a string fornecida pelo aplicativo.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
DoS
Information Disclosure
Use of Uninitialized Resource
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Apple Macos
Red Hat
Rocky Linux
Suse
Ubuntu
Curl