CVE-2023-23915 in cURL
Tóm tắt
Bởi VulDB • 22/06/2026
Tồn tại một lỗ hổng truyền tải thông tin nhạy cảm dưới dạng văn bản rõ (cleartext) trong curl <v7.88.0, có thể khiến chức năng HSTS hoạt động không chính xác khi nhiều URL được yêu cầu song song. Với hỗ trợ HSTS của mình, curl có thể được cấu hình để sử dụng HTTPS thay vì thực hiện bước HTTP dạng văn bản rõ (clear-text) kém bảo mật ngay cả khi giao thức HTTP được chỉ định trong URL. Tuy nhiên, cơ chế HSTS này sẽ thất bại một cách bất ngờ khi nhiều quá trình truyền tải diễn ra song song do tệp bộ nhớ đệm HSTS bị ghi đè bởi quá trình truyền tải hoàn tất gần nhất. Sau đó, một yêu cầu chuyển tiếp chỉ sử dụng HTTP đến tên máy chủ trước đó sẽ *không* được nâng cấp đúng mức lên giao thức bảo mật thông qua cơ chế HSTS.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.