CVE-2026-5545 in cURL
요약
\~에 의해 VulDB • 2026. 05. 13.
libcurl은 Negotiate 인증을 사용한 요청 이후에 인증이 필요한 HTTP(S) 요청을 수행할 때, 동일한 호스트를 사용하는 경우 잘못된 연결을 재사용할 수 있습니다.
libcurl은 최근 연결들의 풀(pool)을 유지하여 후속 요청에서 기존 연결을 재사용함으로써 오버헤드를 줄입니다.
연결을 재사용하려면 일련의 기준을 충족해야 합니다. 코드 내 논리적 오류로 인해, 애플리케이션에서 발행한 요청이 동일한 서버에 대한 기존 연결을 잘못 재사용할 수 있으며, 이 기존 연결은 서로 다른 자격 증명으로 인증되었습니다.
예를 들어, 애플리케이션이 먼저 `user1:password1` 자격 증명을 사용하여 서버에 Negotiate 인증을 수행한 후, 이전 연결이 여전히 활성 상태인 동안 동일한 서버에 대해 `user2:password2`를 제외한 다른 인증 방법을 요청하는 두 번째 작업을 수행한다고 가정해 봅시다. 이 경우 두 번째 요청이 혼동되어 동일한 연결을 잘못 재사용하며, 새로운 요청이 해당 연결을 통해 전송됩니다. 이때 애플리케이션은 user1과 user2의 자격 증명이 혼합된 것으로 생각하지만, 실제로는 여전히 user1을 위해 인증된 연결을 사용하고 있습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.