Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2021-22876

Опубликовано: 01 апр. 2021
Источник: nvd
CVSS3: 5.3
CVSS2: 5
EPSS Низкий

Уязвимость утечки приватной информации в curl из-за передачи учетных данных в заголовке HTTP Referer

Описание

В curl и libcurl присутствует уязвимость, связанная с утечкой приватной личной информации. Учетные данные могут попасть в заголовок HTTP Referer при выполнении исходящих HTTP-запросов. Это происходит из-за того, что libcurl не удаляет учетные данные пользователя из URL при автоматическом заполнении заголовка Referer в HTTP-запросах. В результате этого существует риск утечки конфиденциальных данных серверу, к которому направляется второй HTTP-запрос.

Затронутые версии ПО

  • curl с версии 7.1.1 до и включая версию 7.75.0

Тип уязвимости

Утечка информации

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:haxx:libcurl:*:*:*:*:*:*:*:*
Версия от 7.1.1 (включая) до 7.75.0 (включая)
Конфигурация 2

Одно из

cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:33:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:a:netapp:hci_management_node:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:solidfire:-:*:*:*:*:*:*:*
cpe:2.3:h:netapp:hci_compute_node:-:*:*:*:*:*:*:*
cpe:2.3:h:netapp:hci_storage_node:-:*:*:*:*:*:*:*
Конфигурация 4
cpe:2.3:o:broadcom:fabric_operating_system:-:*:*:*:*:*:*:*
Конфигурация 5
cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
Конфигурация 6
cpe:2.3:a:siemens:sinec_infrastructure_network_services:*:*:*:*:*:*:*:*
Версия до 1.0.1.1 (исключая)
Конфигурация 7

Одно из

cpe:2.3:a:oracle:communications_billing_and_revenue_management:12.0.0.3.0:*:*:*:*:*:*:*
cpe:2.3:a:oracle:essbase:21.2:*:*:*:*:*:*:*
Конфигурация 8

Одно из

cpe:2.3:a:splunk:universal_forwarder:*:*:*:*:*:*:*:*
Версия от 8.2.0 (включая) до 8.2.12 (исключая)
cpe:2.3:a:splunk:universal_forwarder:*:*:*:*:*:*:*:*
Версия от 9.0.0 (включая) до 9.0.6 (исключая)
cpe:2.3:a:splunk:universal_forwarder:9.1.0:*:*:*:*:*:*:*

EPSS

Процентиль: 24%
0.0008
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Дефекты

CWE-359
CWE-200

Связанные уязвимости

ubuntu логотип

CVE-2021-22876

CVSS3: 5.3
ubuntu
больше 4 лет назад

curl 7.1.1 to and including 7.75.0 is vulnerable to an "Exposure of Private Personal Information to an Unauthorized Actor" by leaking credentials in the HTTP Referer: header. libcurl does not strip off user credentials from the URL when automatically populating the Referer: HTTP request header field in outgoing HTTP requests, and therefore risks leaking sensitive data to the server that is the target of the second HTTP request.

redhat логотип

CVE-2021-22876

CVSS3: 3.7
redhat
больше 4 лет назад

curl 7.1.1 to and including 7.75.0 is vulnerable to an "Exposure of Private Personal Information to an Unauthorized Actor" by leaking credentials in the HTTP Referer: header. libcurl does not strip off user credentials from the URL when automatically populating the Referer: HTTP request header field in outgoing HTTP requests, and therefore risks leaking sensitive data to the server that is the target of the second HTTP request.

debian логотип

CVE-2021-22876

CVSS3: 5.3
debian
больше 4 лет назад

curl 7.1.1 to and including 7.75.0 is vulnerable to an "Exposure of Pr ...

suse-cvrf логотип

SUSE-SU-2021:14707-1

suse-cvrf
больше 4 лет назад

Security update for curl

suse-cvrf логотип

SUSE-SU-2021:1396-1

suse-cvrf
больше 4 лет назад

Security update for curl

EPSS

Процентиль: 24%
0.0008
Низкий

5.3 Medium

CVSS3

5 Medium

CVSS2

Дефекты

CWE-359
CWE-200