Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-27781

Опубликовано: 02 июн. 2022
Источник: nvd
CVSS3: 7.5
CVSS2: 5
EPSS Низкий

Уязвимость зацикливания libcurl при запросе информации о сертификате сервера через "CURLOPT_CERTINFO"

Описание

В библиотеке libcurl обнаружена уязвимость, связанная с опцией CURLOPT_CERTINFO, которая предназначена для получения информации о цепочке сертификатов сервера. Из-за некорректной работы функции злоумышленник, используя вредоносный сервер, способен заставить libcurl, построенный с использованием NSS, застрять в бесконечном цикле при попытке получить эту информацию.

Тип уязвимости

Бесконечный цикл

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:haxx:curl:*:*:*:*:*:*:*:*
Версия до 7.83.1 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:*
cpe:2.3:o:debian:debian_linux:11.0:*:*:*:*:*:*:*
Конфигурация 3

Одновременно

cpe:2.3:o:netapp:hci_bootstrap_os:-:*:*:*:*:*:*:*
cpe:2.3:h:netapp:hci_compute_node:-:*:*:*:*:*:*:*
Конфигурация 4

Одно из

cpe:2.3:a:netapp:clustered_data_ontap:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:solidfire\,_enterprise_sds_\&_hci_storage_node:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:solidfire_\&_hci_management_node:-:*:*:*:*:*:*:*
cpe:2.3:h:netapp:hci_compute_node:-:*:*:*:*:*:*:*
Конфигурация 5

Одновременно

cpe:2.3:o:netapp:h300s_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:netapp:h300s:-:*:*:*:*:*:*:*
Конфигурация 6

Одновременно

cpe:2.3:o:netapp:h500s_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:netapp:h500s:-:*:*:*:*:*:*:*
Конфигурация 7

Одновременно

cpe:2.3:o:netapp:h700s_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:netapp:h700s:-:*:*:*:*:*:*:*
Конфигурация 8

Одновременно

cpe:2.3:o:netapp:h410s_firmware:-:*:*:*:*:*:*:*
cpe:2.3:h:netapp:h410s:-:*:*:*:*:*:*:*
Конфигурация 9

Одно из

cpe:2.3:a:splunk:universal_forwarder:*:*:*:*:*:*:*:*
Версия от 8.2.0 (включая) до 8.2.12 (исключая)
cpe:2.3:a:splunk:universal_forwarder:*:*:*:*:*:*:*:*
Версия от 9.0.0 (включая) до 9.0.6 (исключая)
cpe:2.3:a:splunk:universal_forwarder:9.1.0:*:*:*:*:*:*:*

EPSS

Процентиль: 20%
0.00063
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-400
CWE-835

Связанные уязвимости

ubuntu логотип

CVE-2022-27781

CVSS3: 7.5
ubuntu
около 3 лет назад

libcurl provides the `CURLOPT_CERTINFO` option to allow applications torequest details to be returned about a server's certificate chain.Due to an erroneous function, a malicious server could make libcurl built withNSS get stuck in a never-ending busy-loop when trying to retrieve thatinformation.

redhat логотип

CVE-2022-27781

CVSS3: 7.5
redhat
около 3 лет назад

libcurl provides the `CURLOPT_CERTINFO` option to allow applications torequest details to be returned about a server's certificate chain.Due to an erroneous function, a malicious server could make libcurl built withNSS get stuck in a never-ending busy-loop when trying to retrieve thatinformation.

msrc логотип

CVE-2022-27781

CVSS3: 7.5
msrc
около 3 лет назад

Описание отсутствует

debian логотип

CVE-2022-27781

CVSS3: 7.5
debian
около 3 лет назад

libcurl provides the `CURLOPT_CERTINFO` option to allow applications t ...

github логотип

GHSA-xgr5-38f7-xqvv

CVSS3: 7.5
github
около 3 лет назад

libcurl provides the `CURLOPT_CERTINFO` option to allow applications torequest details to be returned about a server's certificate chain.Due to an erroneous function, a malicious server could make libcurl built withNSS get stuck in a never-ending busy-loop when trying to retrieve thatinformation.

EPSS

Процентиль: 20%
0.00063
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-400
CWE-835