PT-2026-35891 · Curl+2 · Curl+2

Arkadi Vainbrand

Publicado

2026-04-29

Atualizado

2026-06-17

CVE-2026-4873

CVSS v3.1

5.9

Média

Vetor

AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

Nome do Software Vulnerável e Versões Afetadas curl (versões afetadas não especificadas)

Descrição Existe uma falha onde uma conexão que requer TLS reutiliza incorretamente uma conexão não criptografada existente do mesmo pool de conexões. Se uma transferência inicial for feita em texto simples via IMAP, SMTP ou POP3, uma solicitação subsequente para o mesmo host ignora a exigência de TLS e transmite os dados sem criptografia.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

Exploit

Improper Certificate Validation

Cleartext Transmission of Sensitive Information

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-295CWE-319

Identificadores relacionados

CVE-2026-4873

ECHO-597F-0D7C-A9E6

OESA-2026-2477

OPENSUSE-SU-2026:10674-1

RHSA-2026:12916

USN-8227-1

Produtos afetados

Linuxmint

Ubuntu

Curl

PT-2026-35891 · Curl+2 · Curl+2

CVE-2026-4873

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 43