PT-2022-4990 · Curl+10 · Curl+10
Haxatron1
·
Publicado
2022-06-26
·
Atualizado
2026-05-18
·
CVE-2022-35252
CVSS v3.1
3.7
Baixa
| Vetor | AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
Versões do cURL anteriores à 7.85.0
Descrição
O problema está relacionado à validação insuficiente de entradas ao lidar com cookies com códigos de controle, especificamente valores de byte menores que 32. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço (erro 400 Bad Request) ao enviar arquivos de cookie especialmente criados. A vulnerabilidade permite efetivamente que um “site irmão” negue serviço a todos os irmãos quando o curl é usado para recuperar e analisar cookies de um servidor HTTP(S).
Recomendações
Para versões anteriores à 7.85.0, atualize para a versão 7.85.0 do curl para resolver o problema. Como solução alternativa temporária, considere restringir o uso de códigos de controle em cookies para minimizar o risco de exploração. Evite usar cookies que contenham códigos de controle (valores de byte inferiores a 32) nos endpoints da API afetados até que o problema seja resolvido.
Exploit
Correção
DoS
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Apple Macos
Red Hat
Red Os
Suse
Ubuntu
Curl