Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-11571

Опубликовано: 23 фев. 2023
Источник: fstec
CVSS3: 6.5
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость утилиты командной строки cURL связана c передачей конфиденциальной информации открытым текстом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку MitM

Вендор

ООО «Ред Софт»
АО «ИВК»
АО "НППКТ"
Daniel Stenberg

Наименование ПО

РЕД ОС
Альт 8 СП
ОСОН ОСнова Оnyx
cURL

Версия ПО

7.3 (РЕД ОС)
- (Альт 8 СП)
до 2.8 (ОСОН ОСнова Оnyx)
от 7.77.0 до 7.88.0 (cURL)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» Альт 8 СП -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://security.netapp.com/advisory/ntap-20230309-0006/
Для РедОС:
http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/
Обновление программного обеспечения curl до версии 7.88.1-10+deb12u1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 8%
0.0003
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20250923-42

CVSS3: 6.5
redos
4 месяца назад

Множественные уязвимости libcurl

redos логотип

ROS-20250923-22

CVSS3: 6.5
redos
4 месяца назад

Множественные уязвимости curl

ubuntu логотип

CVE-2023-23915

CVSS3: 6.5
ubuntu
почти 3 года назад

A cleartext transmission of sensitive information vulnerability exists in curl <v7.88.0 that could cause HSTS functionality to behave incorrectly when multiple URLs are requested in parallel. Using its HSTS support, curl can be instructed to use HTTPS instead of using an insecure clear-text HTTP step even when HTTP is provided in the URL. This HSTS mechanism would however surprisingly fail when multiple transfers are done in parallel as the HSTS cache file gets overwritten by the most recentlycompleted transfer. A later HTTP-only transfer to the earlier host name would then *not* get upgraded properly to HSTS.

redhat логотип

CVE-2023-23915

CVSS3: 4.2
redhat
почти 3 года назад

A cleartext transmission of sensitive information vulnerability exists in curl <v7.88.0 that could cause HSTS functionality to behave incorrectly when multiple URLs are requested in parallel. Using its HSTS support, curl can be instructed to use HTTPS instead of using an insecure clear-text HTTP step even when HTTP is provided in the URL. This HSTS mechanism would however surprisingly fail when multiple transfers are done in parallel as the HSTS cache file gets overwritten by the most recentlycompleted transfer. A later HTTP-only transfer to the earlier host name would then *not* get upgraded properly to HSTS.

nvd логотип

CVE-2023-23915

CVSS3: 6.5
nvd
почти 3 года назад

A cleartext transmission of sensitive information vulnerability exists in curl <v7.88.0 that could cause HSTS functionality to behave incorrectly when multiple URLs are requested in parallel. Using its HSTS support, curl can be instructed to use HTTPS instead of using an insecure clear-text HTTP step even when HTTP is provided in the URL. This HSTS mechanism would however surprisingly fail when multiple transfers are done in parallel as the HSTS cache file gets overwritten by the most recentlycompleted transfer. A later HTTP-only transfer to the earlier host name would then *not* get upgraded properly to HSTS.

EPSS

Процентиль: 8%
0.0003
Низкий

6.5 Medium

CVSS3

6.4 Medium

CVSS2