CVE-2023-23915 in cURLthông tin

Tóm tắt

Bởi VulDB • 22/06/2026

Tồn tại một lỗ hổng truyền tải thông tin nhạy cảm dưới dạng văn bản rõ (cleartext) trong curl <v7.88.0, có thể khiến chức năng HSTS hoạt động không chính xác khi nhiều URL được yêu cầu song song. Với hỗ trợ HSTS của mình, curl có thể được cấu hình để sử dụng HTTPS thay vì thực hiện bước HTTP dạng văn bản rõ (clear-text) kém bảo mật ngay cả khi giao thức HTTP được chỉ định trong URL. Tuy nhiên, cơ chế HSTS này sẽ thất bại một cách bất ngờ khi nhiều quá trình truyền tải diễn ra song song do tệp bộ nhớ đệm HSTS bị ghi đè bởi quá trình truyền tải hoàn tất gần nhất. Sau đó, một yêu cầu chuyển tiếp chỉ sử dụng HTTP đến tên máy chủ trước đó sẽ *không* được nâng cấp đúng mức lên giao thức bảo mật thông qua cơ chế HSTS.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Đặt trước

19/01/2023

Tiết lộ

23/02/2023

Kiểm duyệt

được chấp nhận

EPSS

0.00861

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you know our Splunk app?

Download it now for free!