PT-2021-6777 · Curl+6 · Curl+6

Publicado

2021-07-21

·

Atualizado

2026-05-18

·

CVE-2021-22922

CVSS v2.0

7.1

Alta

VetorAV:N/AC:M/Au:N/C:N/I:C/A:N
Nome do software vulnerável e versões afetadas
curl (versões afetadas não especificadas)
Descrição
O problema está relacionado ao recurso metalink do curl, que permite baixar conteúdo de vários URLs. Quando um servidor que hospeda o conteúdo é invadido e o arquivo é substituído por uma carga maliciosa, o curl deveria detectar a incompatibilidade de hash após a conclusão do download e remover o conteúdo. No entanto, isso não ocorre, e o conteúdo potencialmente malicioso é mantido no disco. O arquivo XML metalink fornece um hash para verificar o conteúdo, mas a incompatibilidade de hash é mencionada apenas no texto, e o usuário pode não perceber a mensagem.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

RCE

Improper Handling of Exceptional Conditions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-840CWE-20CWE-354CWE-755

Identificadores relacionados

ALT-PU-2021-2348
ALT-PU-2021-2856
ALT-PU-2021-2908
ALT-PU-2021-3241
ALT-PU-2021-3666
ALT-PU-2022-2171
ALT-PU-2023-1912
AZL-6361
BDU:2022-02169
CESA-2021_3582
CLEANSTART-2026-AY18527
CLEANSTART-2026-BW46578
CLEANSTART-2026-DI23929
CLEANSTART-2026-LQ42192
CLEANSTART-2026-OF85770
CVE-2021-22922
MGASA-2021-0384
OESA-2022-1506
OPENSUSE-SU-2021:1088-1
OPENSUSE-SU-2021:2439-1
OPENSUSE-SU-2021_1088-1
OPENSUSE-SU-2021_2439-1
OPENSUSE-SU-2024:10582-1
OPENSUSE-SU-2024:12116-1
RHSA-2021:3582
RHSA-2021:3903
RHSA-2021_3582
RLSA-2021:3582
SUSE-SU-2021:14768-1
SUSE-SU-2021:2425-1
SUSE-SU-2021:2439-1
SUSE-SU-2021:2440-1
SUSE-SU-2021:2462-1
SUSE-SU-2021_14768-1
SUSE-SU-2021_2425-1
SUSE-SU-2021_2439-1
SUSE-SU-2021_2440-1
SUSE-SU-2021_2462-1

Produtos afetados

Alt Linux
Centos
Debian
Red Hat
Rocky Linux
Suse
Curl