CVE-2026-8927
NieznaneStreszczenie
Podatność w bibliotece libcurl powoduje, że przy ponownym użyciu uchwytu do sekwencyjnych transferów z konfiguracją proxy przez zmienne środowiskowe, stan uwierzytelnienia proxy nie jest czyszczony między żądaniami. W efekcie nagłówek Proxy-Authorization przeznaczony dla jednego proxy może zostać wysłany do innego.
Ocena ryzyka
Organizacja narażona jest na wyciek danych uwierzytelniających do nieuprawnionego serwera proxy, co może prowadzić do nieautoryzowanego dostępu lub ataków typu man-in-the-middle.
Rekomendacja
Należy zaktualizować bibliotekę libcurl do wersji, w której usunięto tę podatność, oraz rozważyć jawne czyszczenie stanu uwierzytelnienia między transferami.
Oryginalny opis (angielski, źródło NVD)
When reusing a libcurl handle for sequential transfers driven by environment-variable proxy configuration, libcurl fails to clear the proxy authentication state between requests. Specifically, if the initial transfer authenticates against `proxyA` using Digest auth, a subsequent transfer routed through `proxyB` erroneously leaks the `Proxy-Authorization:` header intended solely for `proxyA`.

