PT-2022-2589 · Curl+8 · Curl+8

Harry Sintonen

+1

·

Publicado

2022-04-21

·

Atualizado

2026-05-18

·

CVE-2022-27775

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do curl de 7.65.0 a 7.82.0
Descrição
O problema está relacionado à implementação da função de correspondência de configuração no utilitário curl, que não lida adequadamente com IDs de zona de endereços IPv6. Isso pode levar à realização de conexões incorretas quando uma transferência usa um ID de zona e uma transferência subsequente usa um ID de zona diferente (ou nenhum). A vulnerabilidade permite que um invasor remoto possa reutilizar uma conexão, levando à divulgação de informações.
Recomendações
Para as versões do curl 7.65.0 a 7.82.0, atualize para uma versão que corrija o problema com a função de correspondência de configuração para evitar conexões incorretas e a possível divulgação de informações.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-399CWE-200

Identificadores relacionados

ALSA-2022:8299
ALT-PU-2022-1827
ALT-PU-2022-1877
ALT-PU-2022-1902
BDU:2022-03038
CLEANSTART-2026-AY18527
CLEANSTART-2026-BW46578
CLEANSTART-2026-DI23929
CLEANSTART-2026-LQ42192
CLEANSTART-2026-OF85770
CVE-2022-27775
DSA-5197-1
MGASA-2022-0159
OESA-2022-1659
OPENSUSE-SU-2022_1657-1
OPENSUSE-SU-2024:12028-1
RHSA-2022:8299
RHSA-2022_8299
RLSA-2022:8299
SUSE-SU-2022:1657-1
SUSE-SU-2022_1657-1
USN-5397-1

Produtos afetados

Alt Linux
Almalinux
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Curl