Katalog CVE

CVE-2025-10148

Niskie
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Kod websocket w curl nie aktualizował 32-bitowego wzoru maski dla każdego nowego wychodzącego ramki, co jest sprzeczne z specyfikacją. Zamiast tego używał stałej maski, która utrzymywała się przez cały czas trwania połączenia.

Ocena ryzyka

Przewidywalny wzór maski może umożliwić złośliwemu serwerowi indukowanie ruchu między dwoma stronami, co stwarza ryzyko przejęcia danych lub ataków typu man-in-the-middle.

Rekomendacja

Zaleca się aktualizację curl do najnowszej wersji, która poprawia obsługę maski w kodzie websocket, aby zapewnić zgodność z specyfikacją i zwiększyć bezpieczeństwo połączeń.

Oryginalny opis (angielski, źródło NVD)

curl's websocket code did not update the 32 bit mask pattern for each new outgoing frame as the specification says. Instead it used a fixed mask that persisted and was used throughout the entire connection. A predictable mask pattern allows for a malicious server to induce traffic between the two

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS