PT-2024-9413 · Curl+13 · Curl+13
Daniel Stenberg
+1
·
Publicado
2024-11-08
·
Atualizado
2026-05-18
·
CVE-2024-11053
CVSS v2.0
9.4
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:N |
Nome do software vulnerável e versões afetadas:
Versões do curl de 6.5 a 8.11.0
Descrição:
O problema ocorre quando o curl é usado com um arquivo
.netrc para credenciais e segue redirecionamentos HTTP. Em determinadas circunstâncias, o curl pode vazar a senha usada para o primeiro host para o host de destino do redirecionamento. Essa falha só se manifesta se o arquivo .netrc tiver uma entrada que corresponda ao nome do host de destino do redirecionamento, mas a entrada omitir apenas a senha ou omitir tanto o login quanto a senha.Recomendações:
Para as versões 6.5 a 8.11.0, atualize para a versão 8.11.1 ou posterior para mitigar o risco de vazamento de credenciais. Como solução alternativa temporária, considere evitar o uso de arquivos
.netrc com o curl ou restringir o acesso a informações confidenciais ao seguir redirecionamentos HTTP.Exploit
Correção
DoS
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Debian
Ibm Aix
Linuxmint
Mysql Server
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Curl