CVE-2026-33752

Name of the Vulnerable Software and Affected Versions curl cffi (versões afetadas não especificadas)

Description curl cffi não restringe solicitações a intervalos de IP internos e segue automaticamente os redirecionamentos via libcurl. Isso permite que uma URL controlada por um invasor redirecione solicitações para serviços internos, como endpoints de metadados de nuvem. Além disso, o recurso de personificação TLS do curl cffi pode fazer com que essas solicitações pareçam tráfego legítimo do navegador, contornando potencialmente os controles de rede. O problema surge porque as URLs fornecidas pelo usuário são passadas diretamente para o libcurl sem validação de intervalos de IP internos, os redirecionamentos são seguidos automaticamente e não há validação dos destinos de redirecionamento na camada Python. Um invasor pode fornecer uma URL apontando para seu servidor, que redireciona para um serviço interno, permitindo o acesso a endpoints internos. O recurso de personificação de impressão digital TLS pode ajudar ainda mais a contornar os controles de filtragem baseados em TLS.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.