PT-2021-6778 · Curl+7 · Curl+7
Publicado
2021-07-21
·
Atualizado
2026-05-18
·
CVE-2021-22923
CVSS v2.0
5.4
Média
| Vetor | AV:N/AC:H/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do curl anteriores à 7.77.0
Descrição
O problema está relacionado à proteção insuficiente dos dados de registro, permitindo que um invasor remoto acesse dados confidenciais. Quando o curl é instruído a obter conteúdo usando o recurso metalink e um nome de usuário e senha são usados para baixar o arquivo XML do metalink, essas mesmas credenciais são então repassadas a cada um dos servidores dos quais o curl baixará ou tentará baixar o conteúdo, muitas vezes contrariando as expectativas e intenções do usuário e sem que ele seja informado do ocorrido.
Recomendações
Para versões anteriores à 7.77.0, atualize para a versão 7.77.0 ou posterior para resolver o problema.
Como solução alternativa temporária, considere desativar o recurso metalink até que um patch esteja disponível.
Evite usar as variáveis
username e password no endpoint da API afetado até que o problema seja resolvido.Restrinja o acesso ao arquivo XML metalink para minimizar o risco de exploração.
Exploit
Correção
Insufficiently Protected Credentials
Cleartext Transmission of Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Centos
Debian
Red Hat
Rocky Linux
Suse
Curl