PT-2025-37027 · Curl+4 · Curl+4

Calvin Ruocco

Publicado

2025-01-01

Atualizado

2026-06-05

CVE-2025-10148

CVSS v3.1

5.3

Média

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Nome do Software Vulnerável e Versões Afetadas: curl (versões afetadas não especificadas)

Descrição: O código WebSocket no curl não atualizou o padrão de máscara de 32 bits para cada novo quadro de saída, conforme exigido pela especificação. Em vez disso, uma máscara fixa foi utilizada durante toda a conexão. Esse padrão de máscara previsível poderia permitir que um servidor malicioso induzisse tráfego entre as partes comunicantes que um servidor proxy poderia interpretar como tráfego HTTP legítimo, potencialmente envenenando seu cache e servindo conteúdo malicioso aos usuários.

Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-340

Identificadores relacionados

AZL-67082

AZL-67272

AZL-67290

CLEANSTART-2026-AY18527

CLEANSTART-2026-BW46578

CLEANSTART-2026-DI23929

CLEANSTART-2026-LQ42192

CLEANSTART-2026-OF85770

CVE-2025-10148

ECHO-0BD8-FE65-A70F

JLSEC-2026-423

OPENSUSE-SU-2025:15590-1

OPENSUSE-SU-2025:20090-1

RHSA-2026:6893

SUSE-SU-2025:03173-1

SUSE-SU-2025:03198-1

SUSE-SU-2025:03267-1

SUSE-SU-2025:03268-1

SUSE-SU-2025:20802-1

SUSE-SU-2025:20824-1

SUSE-SU-2025:21077-1

SUSE-SU-2025:21145-1

SUSE-SU-2025_03173-1

SUSE-SU-2025_03198-1

SUSE-SU-2025_03267-1

SUSE-SU-2025_03268-1

SUSE-SU-2025_21145-1

USN-8062-1

Produtos afetados

Debian

Linuxmint

Suse

Ubuntu

Curl

PT-2025-37027 · Curl+4 · Curl+4

CVE-2025-10148

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 334