CVE-2025-13034

Nome do Software Vulnerável e Versões Afetadas libcurl (versões afetadas não especificadas)

Descrição Ao utilizar a opção CURLOPT PINNEDPUBLICKEY no libcurl ou a opção --pinnedpubkey com a ferramenta curl, o software deve verificar a chave pública do certificado do servidor para confirmar a identidade do par. Existia uma condição na qual essa verificação era contornada, permitindo conexões sem a devida verificação e potencialmente viabilizando conexões a um impostor. Isso ocorria especificamente ao utilizar QUIC com o ngtcp2 compilado para utilizar o GnuTLS, e quando a verificação padrão de certificados estava explicitamente desabilitada. O componente vulnerável é o processo de verificação da chave pública ao utilizar chaves públicas fixadas.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.