Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-22576

Опубликовано: 26 мая 2022
Источник: nvd
CVSS3: 8.1
CVSS2: 5.5
EPSS Низкий

Уязвимость некорректной аутентификации в curl, позволяющая повторное использование OAUTH2-аутентифицированных соединений

Описание

В curl обнаружена уязвимость некорректной аутентификации, которая дает возможность повторного использования OAUTH2-аутентифицированных соединений без должной проверки того, что соединение аутентифицировано с использованием тех же учетных данных, которые заданы для передачи.

Затронутые версии ПО

  • curl версии с 7.33.0 до 7.82.0 включительно

Тип уязвимости

Некорректная аутентификация

Затронутые протоколы

Уязвимость затрагивает протоколы с поддержкой SASL: SMPTP(S), IMAP(S), POP3(S) и LDAP(S) (только openldap).

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:haxx:curl:*:*:*:*:*:*:*:*
Версия от 7.33.0 (включая) до 7.83.0 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:a:netapp:clustered_data_ontap:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:solidfire_\&_hci_management_node:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:solidfire_\&_hci_storage_node:-:*:*:*:*:*:*:*
cpe:2.3:o:brocade:fabric_operating_system:-:*:*:*:*:*:*:*
Конфигурация 4

Одновременно

cpe:2.3:o:netapp:bootstrap_os:-:*:*:*:*:*:*:*
cpe:2.3:h:netapp:hci_compute_node:-:*:*:*:*:*:*:*
Конфигурация 5

Одновременно

cpe:2.3:o:netapp:h300s_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:netapp:h300s:-:*:*:*:*:*:*:*
Конфигурация 6

Одновременно

cpe:2.3:o:netapp:h500s_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:netapp:h500s:-:*:*:*:*:*:*:*
Конфигурация 7

Одновременно

cpe:2.3:o:netapp:h700s_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:netapp:h700s:-:*:*:*:*:*:*:*
Конфигурация 8

Одновременно

cpe:2.3:o:netapp:h410s_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:netapp:h410s:-:*:*:*:*:*:*:*
Конфигурация 9

Одно из

cpe:2.3:a:splunk:universal_forwarder:*:*:*:*:*:*:*:*
Версия от 8.2.0 (включая) до 8.2.12 (исключая)
cpe:2.3:a:splunk:universal_forwarder:*:*:*:*:*:*:*:*
Версия от 9.0.0 (включая) до 9.0.6 (исключая)
cpe:2.3:a:splunk:universal_forwarder:9.1.0:*:*:*:*:*:*:*

EPSS

Процентиль: 53%
0.00296
Низкий

8.1 High

CVSS3

5.5 Medium

CVSS2

Дефекты

CWE-287
CWE-306

Связанные уязвимости

ubuntu логотип

CVE-2022-22576

CVSS3: 8.1
ubuntu
около 3 лет назад

An improper authentication vulnerability exists in curl 7.33.0 to and including 7.82.0 which might allow reuse OAUTH2-authenticated connections without properly making sure that the connection was authenticated with the same credentials as set for this transfer. This affects SASL-enabled protocols: SMPTP(S), IMAP(S), POP3(S) and LDAP(S) (openldap only).

redhat логотип

CVE-2022-22576

CVSS3: 8.1
redhat
около 3 лет назад

An improper authentication vulnerability exists in curl 7.33.0 to and including 7.82.0 which might allow reuse OAUTH2-authenticated connections without properly making sure that the connection was authenticated with the same credentials as set for this transfer. This affects SASL-enabled protocols: SMPTP(S), IMAP(S), POP3(S) and LDAP(S) (openldap only).

msrc логотип

CVE-2022-22576

CVSS3: 8.1
msrc
около 3 лет назад

Описание отсутствует

debian логотип

CVE-2022-22576

CVSS3: 8.1
debian
около 3 лет назад

An improper authentication vulnerability exists in curl 7.33.0 to and ...

github логотип

GHSA-2r69-696x-qxj9

CVSS3: 8.1
github
около 3 лет назад

An improper authentication vulnerability exists in curl 7.33.0 to and including 7.82.0 which might allow reuse OAUTH2-authenticated connections without properly making sure that the connection was authenticated with the same credentials as set for this transfer. This affects SASL-enabled protocols: SMPTP(S), IMAP(S), POP3(S) and LDAP(S) (openldap only).

EPSS

Процентиль: 53%
0.00296
Низкий

8.1 High

CVSS3

5.5 Medium

CVSS2

Дефекты

CWE-287
CWE-306