PT-2022-5378 · Curl+8 · Curl+8

Hiroki Kurosawa

·

Publicado

2022-10-26

·

Atualizado

2026-05-18

·

CVE-2022-42916

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:C/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do curl de 7.77.0 a 7.85.0
Descrição
O problema está relacionado à verificação HSTS no curl, que pode ser contornada para induzir o programa a permanecer na conexão HTTP. Isso pode ocorrer quando o nome do host na URL fornecida utiliza caracteres IDN que são substituídos por seus equivalentes ASCII como parte da conversão IDN. Por exemplo, ao usar o caractere UTF-8 U+3002 (PONTO IDEOGRÁFICO) em vez do ponto ASCII comum U+002E (.). A versão mais antiga afetada é a 7.77.0.
Recomendações
Para as versões 7.77.0 a 7.85.0, atualize para a versão 7.86.0 para resolver o problema.
Como solução alternativa temporária, considere evitar o uso de caracteres IDN em URLs até que o problema seja resolvido.
Restrinja o acesso a informações confidenciais para minimizar o risco de exploração.

Correção

Cleartext Transmission of Sensitive Information

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-319

Identificadores relacionados

ALT-PU-2022-2989
ALT-PU-2022-3017
ALT-PU-2022-3042
AZL-11369
AZL-38722
BDU:2022-06692
CLEANSTART-2026-AY18527
CLEANSTART-2026-BW46578
CLEANSTART-2026-DI23929
CLEANSTART-2026-LQ42192
CLEANSTART-2026-OF85770
CVE-2022-42916
JLSEC-2026-399
OESA-2022-2041
OPENSUSE-SU-2022_3785-1
OPENSUSE-SU-2024:12447-1
RHSA-2022:8840
SUSE-SU-2022:3785-1
USN-5702-1

Produtos afetados

Alt Linux
Debian
Linuxmint
Apple Macos
Red Os
Suse
Ubuntu
Virtualbox
Curl