PT-2024-2654 · Libcurl+2 · Libcurl+2

Daniel Stenberg

+2

·

Publicado

2024-03-10

·

Atualizado

2026-06-05

·

CVE-2024-2379

CVSS v3.1

6.3

Média

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
Nome do software vulnerável e versões afetadas
Versões do libcurl (versões afetadas não especificadas)
Descrição
O problema está relacionado ao fato de o libcurl ignorar a verificação de certificado para uma conexão QUIC sob certas condições quando compilado para usar o wolfSSL. Se for utilizada uma cifra ou curva desconhecida ou inválida, o fluxo de erros acidentalmente ignora a verificação e retorna OK, ignorando assim quaisquer problemas de certificado. Isso poderia permitir que um invasor remoto ignorasse quaisquer problemas de certificado.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-295

Identificadores relacionados

AZL-42966
BDU:2024-02721
CLEANSTART-2026-AY18527
CLEANSTART-2026-BW46578
CLEANSTART-2026-DI23929
CLEANSTART-2026-LQ42192
CLEANSTART-2026-OF85770
CVE-2024-2379
ECHO-B0DE-6C4F-E1FD
JLSEC-2026-415
MGASA-2024-0099
OPENSUSE-SU-2024:13805-1
RHSA-2024:2693
SUSE-SU-2025:20029-1

Produtos afetados

Debian
Apple Macos
Libcurl