V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2023-38546
AST
Низкий

Этот недостаток позволяет злоумышленнику вставлять куки по своему усмотрению в запущенную программу, используя libcurl, если выполнены опре…

CVSS
3.7
Низкий
EPSS
0.06
p92
Опубликовано
2023-01-01
Обновлено
2023-01-01
Описание

Этот недостаток позволяет злоумышленнику вставлять куки по своему усмотрению в запущенную программу, используя libcurl, если выполнены определенные условия. libcurl выполняет передачи. В своем API приложение создает "легкие дескрипторы", которые являются индивидуальными дескрипторами для отдельных передач. libcurl предоставляет вызов функции, который дублирует легкий дескриптор, называемый [curl_easy_duphandle](https://curl.se/libcurl/c/curl_easy_duphandle.html). Если передача имеет включенные куки, когда дескриптор дублируется, состояние включенных куков также клонируется - но без клонирования самих куков. Если исходный дескриптор не читал ни одних куков из конкретного файла на диске, клонированная версия дескриптора будет вместо этого хранить имя файла как `none` (используя четыре ASCII буквы, без кавычек). Последующее использование клонированного дескриптора, которое не устанавливает явно источник для загрузки куков, затем непреднамеренно загрузит куки из файла с именем `none`, если такой файл существует и доступен для чтения в текущем каталоге программы, использующей libcurl. И если, конечно, используется правильный формат файла.

Теги · CWE
Без аутентификации
CWE-73
CAPEC-13
CAPEC-64
CAPEC-72
CAPEC-76
CAPEC-78
CAPEC-79
CAPEC-80
CAPEC-267
Затронутые продукты
CurlCurlCurlCurlCurlCurlCurlCurlCurlCurlCurlCurlCurlCurlCurlCurlCurlCurlCurlCurl
Вектор CVSS
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
Хронология
2023-01-01
Опубликована
2023-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: N
Отсутствует (N)
Воздействие на целостность
I: L
Низкое (L)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.062 · p92
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
Показаны первые 20 из 29
Источники данных
AST
DEB
CVE
RED
UBU
Связанные уязвимости