PT-2024-5390 · Curl+3 · Curl+3

Z2

·

Publicado

2024-04-17

·

Atualizado

2026-05-18

·

CVE-2024-6874

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Nome do software vulnerável e versões afetadas
cURL (versões afetadas não especificadas)
Descrição
O problema está relacionado à função curl url get() do utilitário cURL, utilizada para conversões Punycode de domínios IDN. Quando um nome com exatamente 256 bytes é convertido, isso pode fazer com que a função leia fora de um buffer baseado em pilha, levando a uma possível divulgação de informações. Essa falha pode resultar no retorno do conteúdo da pilha como parte da string convertida. A vulnerabilidade pode permitir que um invasor remoto cause uma negação de serviço.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Buffer Over-read

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-126CWE-125

Identificadores relacionados

ALT-PU-2024-10355
ALT-PU-2024-14880
ALT-PU-2024-16747
ALT-PU-2025-1416
AZL-47020
AZL-47046
AZL-49664
BDU:2024-06024
CLEANSTART-2026-AY18527
CLEANSTART-2026-BW46578
CLEANSTART-2026-DI23929
CLEANSTART-2026-LQ42192
CLEANSTART-2026-OF85770
CVE-2024-6874
JLSEC-2025-37
OPENSUSE-SU-2024:14225-1
SUSE-SU-2025:03198-1
SUSE-SU-2025_03198-1

Produtos afetados

Alt Linux
Astra Linux
Suse
Curl