haxx.se cURL/libcURL fino a 7.35.0 su Windows Schannel SSL Backend escalationi di privilegi
| CVSS Punteggio meta temporaneo | Prezzo attuale dell'exploit (≈) | Punteggio di interesse CTI |
|---|---|---|
| 4.6 | $0-$5k | 0.00 |
Riassunto
È stata scoperta una vulnerabilità classificata come problematico in haxx.se cURL and libcURL fino a 7.35.0 su Windows. Si considera coinvolta una funzione sconosciuta nel componente Schannel SSL Backend. L’alterazione causa escalationi di privilegi. Questa vulnerabilità è conosciuta come CVE-2014-2522. Nessun exploit disponibile. Si suggerisce di aggiornare il componente vulnerabile.
Dettagli
Una vulnerabilità di livello problematico è stata rilevata in haxx.se cURL e libcURL fino a 7.35.0 su Windows (Network Utility Software). Interessato da questa vulnerabilità è una funzione sconosciuta del componente Schannel SSL Backend. Per causa della manipolazione di un input sconosciuto se causa una vulnerabilità di classe escalationi di privilegi. Questo ha effetti su la integrità.
La vulnerabilità è stata pubblicata in data 17/03/2014 da Daniel Stenberg con identificazione flaw in curl's Windows SSL backend con un mailinglist post (oss-sec) (non definito). L'advisory è scaricabile da seclists.org. La pubblicazione è stata coordinata con il produttore. Questa vulnerabilità è identificata come CVE-2014-2522. Dalla rete può partire l'attacco. L'utilizzo non richiede alcuna forma di autentificazione. Dettagli tecnici e metodo d'utilizzo , non sono a disposizione.
È disponibile un plugin per lo scanner Nessus, numero ID 73247 (Slackware 13.0 / 13.1 / 13.37 / 14.0 / 14.1 / current : curl (SSA:2014-086-01)), che può aiutare a determinare l'esistenza della criticità nel sistema analizzato.
L'aggiornamento alla versione 7.36.0 elimina questa vulnerabilità. L'aggiornamento è scaricabile da curl.haxx.se. Una possibile soluzione è stata pubblicata 2 settimane dopo la pubblicazione della vulnerabilità.
La vulnerabilità è documentata anche nel database X-Force (92040), Tenable (73247), SecurityFocus (BID 66296†), Secunia (SA57836†) e Vulnerability Center (SBV-56919†). If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Prodotto
Genere
Fornitore
Nome
Versione
- 7.0
- 7.1
- 7.2
- 7.3
- 7.4
- 7.5
- 7.6
- 7.7
- 7.8
- 7.9
- 7.10
- 7.11
- 7.12
- 7.13
- 7.14
- 7.15
- 7.16
- 7.17
- 7.18
- 7.19
- 7.20
- 7.21
- 7.22
- 7.23
- 7.24
- 7.25
- 7.26
- 7.27
- 7.28
- 7.29
- 7.30
- 7.31
- 7.32
- 7.33
- 7.34
- 7.35.0
Licenza
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vettore: 🔍VulDB Affidabilità: 🔍
CVSSv3
VulDB Punteggio meta-base: 5.3VulDB Punteggio meta temporaneo: 4.6
VulDB Punteggio di base: 5.3
VulDB Punteggio temporaneo: 4.6
VulDB Vettore: 🔍
VulDB Affidabilità: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vettore | Complessità | Autenticazione | Riservatezza | Integrità | Disponibilità |
|---|---|---|---|---|---|
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
| Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
VulDB Punteggio di base: 🔍
VulDB Punteggio temporaneo: 🔍
VulDB Affidabilità: 🔍
NVD Punteggio di base: 🔍
Sfruttamento
Classe: Escalationi di privilegiCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Fisico: No
Locale: No
Remoto: Si
Disponibilità: 🔍
Stato: Non dimostrata
EPSS Score: 🔍
EPSS Percentile: 🔍
Previsione dei prezzi: 🔍
Preventivo attuale: 🔍
| 0-Day | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
|---|---|---|---|---|
| Oggi | Sbloccare | Sbloccare | Sbloccare | Sbloccare |
Nessus ID: 73247
Nessus Nome: Slackware 13.0 / 13.1 / 13.37 / 14.0 / 14.1 / current : curl (SSA:2014-086-01)
Nessus File: 🔍
Nessus Rischio: 🔍
Nessus Famiglia: 🔍
Nessus Context: 🔍
Qualys ID: 🔍
Qualys Nome: 🔍
Intelligence sulle minacce
Interesse: 🔍Attori attivi: 🔍
Gruppi APT attivi: 🔍
Contromisure
Raccomandazione: AggiornamentoStato: 🔍
Tempo di reazione: 🔍
Tempo 0 giorni: 🔍
Tempo di esposizione: 🔍
Aggiornamento: cURL/libcURL 7.36.0
Sequenza temporale
17/03/2014 🔍17/03/2014 🔍
19/03/2014 🔍
26/03/2014 🔍
27/03/2014 🔍
31/03/2014 🔍
15/04/2014 🔍
18/04/2014 🔍
23/09/2015 🔍
01/03/2016 🔍
11/05/2026 🔍
Fonti
Avis: flaw in curl's Windows SSL backendRicercatore: Daniel Stenberg
Stato: Confermato
Conferma: 🔍
Coordinato: 🔍
CVE: CVE-2014-2522 (🔍)
GCVE (CVE): GCVE-0-2014-2522
GCVE (VulDB): GCVE-100-12693
X-Force: 92040 - cURL/libcURL SSL certificates security bypass, Medium Risk
SecurityFocus: 66296 - cURL/libcURL CVE-2014-2522 SSL Certificate Validation Security Bypass Vulnerability
Secunia: 57836 - Chef Multiple Vulnerabilities, Moderately Critical
Vulnerability Center: 56919 - cURL and libcurl on Windows Remote Man-in-the-Middle and Spoofing Using SChannel/Winssl TLS, Medium
Vedi anche: 🔍
Voce
Data di creazione: 27/03/2014 09:10Aggiornato: 11/05/2026 10:04
Cambiamenti: 27/03/2014 09:10 (82), 25/08/2018 09:25 (7), 11/05/2026 10:04 (22)
Completa: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Ancora nessun commento. Lingue: it + ro + en.
Effettua il login per commentare.