Katalog CVE

CVE-2026-9545

Nieznane
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

W bibliotece libcurl stwierdzono podatność polegającą na wysyłaniu danych żądania przed weryfikacją certyfikatu SSL/TLS w przypadku użycia buforowanej sesji SSL i włączonej funkcji wczesnych danych (early data) przy przejściu na HTTP/3. Atakujący może podmienić serwer na nieautoryzowaną maszynę bez ważnego certyfikatu, co prowadzi do potencjalnego wycieku wrażliwych informacji.

Ocena ryzyka

Ryzyko polega na możliwości ujawnienia poufnych danych przesyłanych w żądaniach HTTP, takich jak tokeny autoryzacyjne czy dane osobowe, zanim libcurl sprawdzi poprawność certyfikatu serwera. Może to umożliwić atakującemu przechwycenie tych danych w scenariuszu ataku typu man-in-the-middle.

Rekomendacja

Zaleca się natychmiastową aktualizację biblioteki libcurl do wersji, w której usunięto tę podatność. Jako tymczasowe obejście można wyłączyć buforowanie sesji SSL (CURLOPT_SSL_SESSIONID_CACHE) lub funkcję wczesnych danych (CURLSSLOPT_EARLYDATA) w konfiguracji aplikacji korzystających z libcurl.

Oryginalny opis (angielski, źródło NVD)

In this scenario, libcurl first uses a proper HTTP/3 server for the initial transfers, and when it makes a second transfer to the same site it has been replaced by the attacker's impostor machine - without a valid certificate. When libcurl returns to the hostname the second time with a cached SSL session (`CURLOPT_SSL_SESSIONID_CACHE` is not disabled) and early data enabled (the `CURLSSLOPT_EARLYDATA` bit is set in `CURLOPT_SSL_OPTIONS`), libcurl might send off the second request's bytes on that new connection *before* enforcing the certificate verification failure. Potentially leaking sensitive information.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS