PT-2022-5976 · Curl+5 · Curl+5
Kurohiro
·
Publicado
2022-10-26
·
Atualizado
2026-05-18
·
CVE-2022-35260
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do curl anteriores à 7.86.0
Descrição
O problema está relacionado a um erro na análise do arquivo .netrc para credenciais, o que pode levar a uma negação de serviço. Se um usuário mal-intencionado conseguir fornecer um arquivo .netrc personalizado a um aplicativo ou afetar seu conteúdo de alguma forma, essa falha poderá ser usada para causar a falha do aplicativo ou outros comportamentos inesperados. O arquivo .netrc pode ser criado para conter uma linha com 4.095 caracteres consecutivos que não sejam espaços em branco e sem quebra de linha, fazendo com que o aplicativo leia além do fim do buffer baseado em pilha e, potencialmente, grave um byte zero além de seu limite.
Recomendações
Atualize para a versão 7.86.0 ou posterior do curl para resolver o problema. Como solução alternativa temporária, considere restringir o acesso a arquivos .netrc personalizados ou validar seu conteúdo para impedir entradas maliciosas. Evite usar arquivos .netrc com conteúdo não confiável ou não validado até que o problema seja resolvido.
Exploit
Correção
DoS
Exposure of Resource to Wrong Sphere
Out of bounds Read
Information Disclosure
Stack Overflow
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Linuxmint
Apple Macos
Red Os
Ubuntu
Curl