Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-10233

Опубликовано: 28 мая 2025
Источник: fstec
CVSS3: 5.4
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость библиотеки libcurl связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Daniel Stenberg

Наименование ПО

Libcurl

Версия ПО

от 8.5.0 до 8.13.0 включительно (Libcurl)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,4)
Средний уровень опасности (оценка CVSS 4.0 составляет 5,1)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://curl.se/docs/CVE-2025-5025.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 3%
0.00018
Низкий

5.4 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-5025

CVSS3: 4.8
ubuntu
5 месяцев назад

libcurl supports *pinning* of the server certificate public key for HTTPS transfers. Due to an omission, this check is not performed when connecting with QUIC for HTTP/3, when the TLS backend is wolfSSL. Documentation says the option works with wolfSSL, failing to specify that it does not for QUIC and HTTP/3. Since pinning makes the transfer succeed if the pin is fine, users could unwittingly connect to an impostor server without noticing.

redhat логотип

CVE-2025-5025

CVSS3: 4.8
redhat
5 месяцев назад

libcurl supports *pinning* of the server certificate public key for HTTPS transfers. Due to an omission, this check is not performed when connecting with QUIC for HTTP/3, when the TLS backend is wolfSSL. Documentation says the option works with wolfSSL, failing to specify that it does not for QUIC and HTTP/3. Since pinning makes the transfer succeed if the pin is fine, users could unwittingly connect to an impostor server without noticing.

nvd логотип

CVE-2025-5025

CVSS3: 4.8
nvd
5 месяцев назад

libcurl supports *pinning* of the server certificate public key for HTTPS transfers. Due to an omission, this check is not performed when connecting with QUIC for HTTP/3, when the TLS backend is wolfSSL. Documentation says the option works with wolfSSL, failing to specify that it does not for QUIC and HTTP/3. Since pinning makes the transfer succeed if the pin is fine, users could unwittingly connect to an impostor server without noticing.

msrc логотип

CVE-2025-5025

CVSS3: 4.8
msrc
3 месяца назад

No QUIC certificate pinning with wolfSSL

debian логотип

CVE-2025-5025

CVSS3: 4.8
debian
5 месяцев назад

libcurl supports *pinning* of the server certificate public key for HT ...

EPSS

Процентиль: 3%
0.00018
Низкий

5.4 Medium

CVSS3

6.4 Medium

CVSS2