Duas novas vulnerabilidades foram descobertas na ferramenta Curl amplamente utilizada. Essas duas vulnerabilidades são identificadas como CVE-2023-38545 e CVE-2023-38546. Uma dessas vulnerabilidades tem gravidade alta, enquanto a outra tem gravidade baixa.
No entanto, a equipe Curl confirmou que lançará o comunicado de segurança e informações adicionais sobre essas vulnerabilidades em 11 de outubro. Essas vulnerabilidades são relatadas como existentes nas ferramentas libcurl e curl.
“Estamos encurtando o ciclo de lançamento e liberaremos curl 8.4.0 em 11 de outubro, incluindo correções para um CVE de gravidade HIGH e um CVE de gravidade LOW. Aquela com classificação ALTA é provavelmente a pior falha de segurança curl em muito tempo.” lê o Postagem no GitHub de Curl.
Documento
CVE-2023-38545 e CVE-2023-38546
CVE-2023-38545 foi relatada como uma vulnerabilidade de alta gravidade que afeta tanto a libcurl quanto a ferramenta curl. Detalhes desta vulnerabilidade ainda não foram publicados. Por outro lado, CVE-2023-38546 foi relatada como uma vulnerabilidade de baixa gravidade que afeta libcurl apenas.
libcurl é considerada a espinha dorsal da ferramenta Curl, que é uma biblioteca de transferência de URL do lado do cliente que oferece suporte à mesma ampla variedade de protocolos. Possui funcionalidade robusta de transferência de dados e permite que a ferramenta Curl se comunique com servidores para enviar solicitações HTTP, gerenciar cookies e lidar com autenticação.
A versão atual da ferramenta Curl é 8.3.0lançado em 13 de setembro de 2023. No entanto, o próximo lançamento, 8.4.0, será lançado mais cedo do que o esperado devido à descoberta dessas vulnerabilidades. Também é relatado que esta foi uma das falhas de segurança mais críticas encontradas recentemente no Curl.
Recomenda-se que as organizações atualizem o Curl para a versão mais recente assim que for lançado publicamente em 11 de outubro de 2023.
