Katalog CVE

CVE-2026-8924

Nieznane
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w curl pozwala złośliwemu serwerowi HTTP ustawić 'super ciasteczka', które omijają sprawdzanie Publicznej Listy Sufiksów. Dzięki temu atakujący może wstrzyknąć ciasteczka, które curl następnie przesyła do niezwiązanych domen trzecich.

Ocena ryzyka

Organizacja narażona jest na wyciek danych uwierzytelniających lub sesji do niepowiązanych domen, co może prowadzić do przejęcia kont użytkowników lub naruszenia poufności.

Rekomendacja

Zaleca się natychmiastową aktualizację curl do wersji, która zawiera poprawkę dla CVE-2026-8924. Należy również przejrzeć konfiguracje aplikacji korzystających z curl pod kątem potencjalnego nadużycia ciasteczek.

Oryginalny opis (angielski, źródło NVD)

A flaw in curl’s cookie parsing logic allows a malicious HTTP server to set 'super cookies' that bypass the Public Suffix List check. This enables an attacker-controlled origin to inject cookies that curl subsequently scopes and transmits to unrelated third-party domains.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS