CVE-2023-38546 in cURLinfo

Zusammenfassung

von VulDB • 05.06.2026

Dieser Fehler ermöglicht es einem Angreifer, nach Belieben Cookies in ein laufendes Programm einzufügen, das libcurl verwendet, sofern eine bestimmte Reihe von Bedingungen erfüllt ist. libcurl führt Datenübertragungen durch. In seiner API erstellt eine Anwendung „easy handles“, die als individuelle Handles für einzelne Übertragungen dienen. libcurl stellt einen Funktionsaufruf bereit, der ein easy handle dupliziert und [curl_easy_duphandle](https://curl.se/libcurl/c/curl_easy_duphandle.html) heißt. Wenn bei einer Datenübertragung Cookies aktiviert sind, wenn das Handle dupliziert wird, wird auch der Status „Cookies aktiviert“ geklont – jedoch ohne die eigentlichen Cookies zu klonen. Hat das Quell-Handle keine Cookies aus einer bestimmten Datei auf der Festplatte gelesen, speichert die geklonte Version des Handles stattdessen den Dateinamen als `none` (unter Verwendung der vier ASCII-Buchstaben, ohne Anführungszeichen). Die nachfolgende Nutzung des geklonten Handles, das nicht explizit eine Quelle zum Laden von Cookies festlegt, lädt dann unbeabsichtigt Cookies aus einer Datei namens `none`, sofern eine solche Datei existiert und im aktuellen Verzeichnis des Programms, das libcurl verwendet, lesbar ist. Und natürlich unter der Voraussetzung, dass das korrekte Dateiformat verwendet wird.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Reservieren

20.07.2023

Veröffentlichung

25.10.2023

Moderieren

akzeptiert

Eintrag

VDB-241910

CPE

bereit

EPSS

0.06208

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!