CVE-2025-10966

Опубликовано: 07 нояб. 2025

Источник: nvd

CVSS3: 4.3

EPSS Низкий

Описание

curl's code for managing SSH connections when SFTP was done using the wolfSSH powered backend was flawed and missed host verification mechanisms.

This prevents curl from detecting MITM attackers and more.

Ссылки

https://curl.se/docs/CVE-2025-10966.html
Vendor Advisory
Patch
https://curl.se/docs/CVE-2025-10966.json
Vendor Advisory
https://hackerone.com/reports/3355218
Exploit
Issue Tracking
Third Party Advisory
http://www.openwall.com/lists/oss-security/2025/11/05/2
Mailing List
Third Party Advisory
Patch

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:haxx:curl:*:*:*:*:*:*:*:*

Версия от 7.69.0 (включая) до 8.17.0 (исключая)

EPSS

Процентиль: 2%

0.00015

Низкий

4.3 Medium

CVSS3

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

CVE-2025-10966

CVSS3: 4.3

ubuntu

3 месяца назад

curl's code for managing SSH connections when SFTP was done using the wolfSSH powered backend was flawed and missed host verification mechanisms. This prevents curl from detecting MITM attackers and more.

CVE-2025-10966

msrc

2 месяца назад

missing SFTP host verification with wolfSSH

CVE-2025-10966

CVSS3: 4.3

debian

3 месяца назад

curl's code for managing SSH connections when SFTP was done using the ...

GHSA-5gff-h54g-38r2

CVSS3: 4.3

github

3 месяца назад

BDU:2025-15585

CVSS3: 4.3

fstec

3 месяца назад

Уязвимость программного средства для взаимодействия с серверами cURL, связанная с обменом ключами без аутентификации объекта, позволяющая нарушителю выполнять атаки типа «человек посередине»

EPSS

Процентиль: 2%

0.00015

Низкий

4.3 Medium

CVSS3

Дефекты

NVD-CWE-noinfo