CVE-2022-32221

Versões da libcurl anteriores à 7.86.0

Ao realizar transferências HTTP(S), o libcurl pode usar erroneamente o callback de leitura (CURLOPT READFUNCTION) para solicitar dados a serem enviados, mesmo quando a opção CURLOPT POSTFIELDS estiver definida, se o mesmo identificador tiver sido usado anteriormente para emitir uma solicitação PUT que utilizou esse callback. Essa falha pode surpreender o aplicativo e fazer com que ele se comporte de maneira incorreta, enviando dados errados ou utilizando memória já liberada (ou algo semelhante) na solicitação POST subsequente. O problema existe na lógica para um identificador reutilizado quando ele é alterado de PUT para POST.

Atualize para a versão 7.86.0 ou posterior da libcurl para resolver o problema.

Como solução temporária, considere desativar o callback CURLOPT READFUNCTION ao mudar de uma solicitação PUT para uma POST, a fim de minimizar o risco de exploração.

Restrinja o acesso ao callback CURLOPT READFUNCTION para impedir o uso não autorizado.

Evite reutilizar identificadores para diferentes tipos de solicitações, a fim de evitar confusão entre solicitações PUT e POST.