Katalog CVE

CVE-2026-8927

Nieznane
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w bibliotece libcurl powoduje, że przy ponownym użyciu uchwytu do sekwencyjnych transferów z konfiguracją proxy przez zmienne środowiskowe, stan uwierzytelnienia proxy nie jest czyszczony między żądaniami. W efekcie nagłówek Proxy-Authorization przeznaczony dla jednego proxy może zostać wysłany do innego.

Ocena ryzyka

Organizacja narażona jest na wyciek danych uwierzytelniających do nieuprawnionego serwera proxy, co może prowadzić do nieautoryzowanego dostępu lub ataków typu man-in-the-middle.

Rekomendacja

Należy zaktualizować bibliotekę libcurl do wersji, w której usunięto tę podatność, oraz rozważyć jawne czyszczenie stanu uwierzytelnienia między transferami.

Oryginalny opis (angielski, źródło NVD)

When reusing a libcurl handle for sequential transfers driven by environment-variable proxy configuration, libcurl fails to clear the proxy authentication state between requests. Specifically, if the initial transfer authenticates against `proxyA` using Digest auth, a subsequent transfer routed through `proxyB` erroneously leaks the `Proxy-Authorization:` header intended solely for `proxyA`.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS