Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-38039

Опубликовано: 15 сент. 2023
Источник: nvd
CVSS3: 7.5
EPSS Средний

Описание

When curl retrieves an HTTP response, it stores the incoming headers so that they can be accessed later via the libcurl headers API.

However, curl did not have a limit in how many or how large headers it would accept in a response, allowing a malicious server to stream an endless series of headers and eventually cause curl to run out of heap memory.

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:haxx:curl:*:*:*:*:*:*:*:*
Версия от 7.84.0 (включая) до 8.3.0 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:39:*:*:*:*:*:*:*
Конфигурация 3

Одно из

cpe:2.3:o:microsoft:windows_10_1809:*:*:*:*:*:*:*:*
Версия до 10.0.17763.5122 (исключая)
cpe:2.3:o:microsoft:windows_10_21h2:*:*:*:*:*:*:*:*
Версия до 10.0.19044.3693 (исключая)
cpe:2.3:o:microsoft:windows_10_22h2:*:*:*:*:*:*:*:*
Версия до 10.0.19045.3693 (исключая)
cpe:2.3:o:microsoft:windows_11_21h2:*:*:*:*:*:*:*:*
Версия до 10.0.22000.2600 (исключая)
cpe:2.3:o:microsoft:windows_11_22h2:*:*:*:*:*:*:*:*
Версия до 10.0.22621.2715 (исключая)
cpe:2.3:o:microsoft:windows_11_23h2:*:*:*:*:*:*:*:*
Версия до 10.0.22631.2715 (исключая)
cpe:2.3:o:microsoft:windows_server_2019:*:*:*:*:*:*:*:*
Версия до 10.0.17763.5122 (исключая)
cpe:2.3:o:microsoft:windows_server_2022:*:*:*:*:*:*:*:*
Версия до 10.0.20348.2113 (исключая)

EPSS

Процентиль: 94%
0.14467
Средний

7.5 High

CVSS3

Дефекты

CWE-770

Связанные уязвимости

ubuntu логотип

CVE-2023-38039

CVSS3: 7.5
ubuntu
почти 2 года назад

When curl retrieves an HTTP response, it stores the incoming headers so that they can be accessed later via the libcurl headers API. However, curl did not have a limit in how many or how large headers it would accept in a response, allowing a malicious server to stream an endless series of headers and eventually cause curl to run out of heap memory.

redhat логотип

CVE-2023-38039

CVSS3: 7.5
redhat
почти 2 года назад

When curl retrieves an HTTP response, it stores the incoming headers so that they can be accessed later via the libcurl headers API. However, curl did not have a limit in how many or how large headers it would accept in a response, allowing a malicious server to stream an endless series of headers and eventually cause curl to run out of heap memory.

msrc логотип

CVE-2023-38039

msrc
больше 1 года назад

Hackerone: CVE-2023-38039 HTTP headers eat all memory

debian логотип

CVE-2023-38039

CVSS3: 7.5
debian
почти 2 года назад

When curl retrieves an HTTP response, it stores the incoming headers s ...

suse-cvrf логотип

SUSE-SU-2023:3823-1

suse-cvrf
больше 1 года назад

Security update for curl

EPSS

Процентиль: 94%
0.14467
Средний

7.5 High

CVSS3

Дефекты

CWE-770