V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-5545
CVE
Средний

libcurl может в некоторых обстоятельствах повторно использовать неправильную связь, когда его просят сделать аутентифицированный запрос HTT…

CVSS
6.5
Средний
EPSS
0.00
p32
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

libcurl может в некоторых обстоятельствах повторно использовать неправильную связь, когда его просят сделать аутентифицированный запрос HTTP(S) после аутентифицированного переговорщика, когда Оба используют один и тот же хост. libcurl имеет пул последних подключений, чтобы последующие запросы могли повторно использовать существующее соединение, чтобы избежать накладных. При повторном использовании соединения необходимо выполнить ряд критериев. В силу логического ошибка в коде, запрос, который был выдан приложением, может неправомерно повторно использовать существующее соединение с тем же сервером, который был аутентифицировано с использованием различных учетных данных. Приложение, которое сначала использует аутентификацию переговорного запроса на сервер с `user1:password1` и затем выполняет другую операцию на том же сервере, который спрашивает для любого метода аутентификации, но для `user2:password2` (в то время как предыдущий соединение все еще живо) - второй запрос запутывается и неправильно повторно использует то же соединение и отправляет новый запрос по этому соединению думая, что он использует сочетание учетных данных пользователя и пользователя2, когда это на самом деле все еще с использованием подключения, аутентифицированного для пользователя1...

Теги · CWE
Без аутентификации
CWE-613
Затронутые продукты
Curl 7.10.6–8.20.0
Вектор CVSS
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:H/A:N
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: H
Высокая (H)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: L
Низкое (L)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: N
Отсутствует (N)
Индикаторы эксплуатации
EPSS
0.004 · p32
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
curlОтслеживается
curlОтслеживается
curlОтслеживается
curlОтслеживается
curl*Отслеживается
curlОтслеживается
curlОтслеживается
libcurlОтслеживается
libcurlОтслеживается
libcurl-develОтслеживается
libcurl-develОтслеживается