Katalog CVE

CVE-2026-9080

Nieznane
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wywołanie funkcji `curl_easy_pause()` w ramach callbacka `CURLMOPT_SOCKETFUNCTION` opartego na zdarzeniach powoduje podatność use-after-free. Libcurl próbuje zapisać flagę za pomocą wiszącego wskaźnika do struktury, tuż po zwolnieniu pamięci tego wskaźnika.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do zdalnego wykonania kodu lub spowodowania awarii aplikacji używającej libcurl, co prowadzi do naruszenia poufności, integralności lub dostępności systemu.

Rekomendacja

Zaleca się natychmiastową aktualizację biblioteki libcurl do wersji, w której naprawiono tę podatność. Należy unikać wywoływania `curl_easy_pause()` w callbacku `CURLMOPT_SOCKETFUNCTION` do czasu zastosowania łatki.

Oryginalny opis (angielski, źródło NVD)

Calling `curl_easy_pause()` within the event-based `CURLMOPT_SOCKETFUNCTION` callback triggers a use-after-free vulnerability, where libcurl attempts to store a flag using a dangling struct pointer immediately after that pointer's memory has been freed.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS