CVE-2024-8096

MITJÀ (6,5)

CVSS3: 5,7

El cURL libcurl podria permetre que un atacant remot evités les restriccions de seguretat, causades per una fallada quan s’utilitza l’engrapament OCSP per validar el certificat del servidor. En enviar una sol·licitud especialment dissenyada, un atacant podria explotar aquesta vulnerabilitat per establir la connexió fins i tot si es revoca el certificat.

Sistemes Afectats

• cURL libcurl – 7.41.0
• cURL libcurl – 8.9.1

Remediació
Consulteu l’Avís de seguretat de Project curl, 11 de setembre de 2024 per obtenir informació sobre el pedaç, l’actualització o la solució alternativa. Vegeu-ne les Referències.

Referències

• https://seclists.org/oss-sec/2024/q3/257
• https://curl.se/docs/CVE-2024-8096.html
• https://hackerone.com/reports/2669852