Katalog CVE

CVE-2026-9546

Nieznane
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w bibliotece libcurl powoduje, że nagłówek HTTP `Referer:` utrzymuje się nawet po jawnym wyczyszczeniu. Zgodnie z dokumentacją, przekazanie NULL do opcji `CURLOPT_REFERER` powinno wyłączyć nagłówek, ale opcja nie czyści wewnętrznego stanu. W rezultacie poprzednia wartość referera jest błędnie ponownie używana i wysyłana w kolejnych żądaniach, co może prowadzić do wycieku poufnych informacji do niezamierzonych serwerów.

Ocena ryzyka

Ryzyko polega na niekontrolowanym ujawnieniu poufnych danych (np. adresów URL sesji) do serwerów zewnętrznych, co może naruszyć prywatność użytkowników i bezpieczeństwo aplikacji.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę libcurl do wersji, w której naprawiono tę podatność. Do czasu aktualizacji unikać używania opcji CURLOPT_REFERER z wartością NULL w celu wyczyszczenia nagłówka.

Oryginalny opis (angielski, źródło NVD)

A vulnerability in libcurl caused the HTTP `Referer:` header to persist even when explicitly cleared. While the documentation states that passing NULL to `CURLOPT_REFERER` suppresses the header, the option failed to clear the internal state. As a result the previous referrer string was erroneously reused and sent in subsequent requests, potentially leaking sensitive information to unintended servers.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS