Уязвимость автоматического выполнения кода в curl через файл конфигурации OpenSSL
Описание
Непривилегированный пользователь или программа могут разместить код и конфигурационный файл в известном непривилегированном пути (в каталоге C:/usr/local/), что заставит curl автоматически выполнить этот код (в качестве 'движка' openssl) при вызове. Если curl вызывается привилегированным пользователем, этот код может выполнять любые действия.
Затронутые версии ПО
- curl версий до и включая 7.65.1
Тип уязвимости
Выполнение произвольного кода
Ссылки
- Mailing ListPatchThird Party Advisory
- Broken Link
- PatchVendor Advisory
- Third Party Advisory
- PatchThird Party Advisory
- PatchThird Party Advisory
- PatchThird Party Advisory
- Mailing ListPatchThird Party Advisory
- Broken Link
- PatchVendor Advisory
- Third Party Advisory
- PatchThird Party Advisory
- PatchThird Party Advisory
- PatchThird Party Advisory
Уязвимые конфигурации
Одновременно
Одно из
Одно из
EPSS
7.8 High
CVSS3
4.4 Medium
CVSS2
Дефекты
Связанные уязвимости
A non-privileged user or program can put code and a config file in a known non-privileged path (under C:/usr/local/) that will make curl <= 7.65.1 automatically run the code (as an openssl "engine") on invocation. If that curl is invoked by a privileged user it can do anything it wants.
A non-privileged user or program can put code and a config file in a known non-privileged path (under C:/usr/local/) that will make curl <= 7.65.1 automatically run the code (as an openssl "engine") on invocation. If that curl is invoked by a privileged user it can do anything it wants.
A non-privileged user or program can put code and a config file in a k ...
A non-privileged user or program can put code and a config file in a known non-privileged path (under C:/usr/local/) that will make curl <= 7.65.1 automatically run the code (as an openssl "engine") on invocation. If that curl is invoked by a privileged user it can do anything it wants.
Уязвимость библиотеки libcurl, связанная с неверным управлением генерацией кода, позволяющая нарушителю повысить свои привилегии или выполнить произвольный код
EPSS
7.8 High
CVSS3
4.4 Medium
CVSS2