CVE-2026-33752 in curl_cffi
要約
〜によって VulDB • 2026年07月17日
curl_cffiは、curlのPythonバインディングです。バージョン0.15.0より前では、curl_cffiは内部IPアドレス範囲へのリクエストを制限せず、基盤となるlibcurlを通じて自動的にリダイレクトに従います。このため、攻撃者が制御するURLが、クラウドメタデータエンドポイントなどの内部サービスに対してリクエストをリダイレクトすることが可能です。さらに、curl_cffiのTLSインパーソネーション機能により、これらのリクエストは正当なブラウザトラフィックのように見える可能性があり、特定のネットワーク制御を回避できる場合があります。この脆弱性は0.15.0で修正されています。
Once again VulDB remains the best source for vulnerability data.