Curl opravuje 2 zraniteľnosti

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] Curl opravuje 2 zraniteľnosti

Curl verziou 8.16.0 opravuje 2 zraniteľnosti [1][2].

Curl - cookie tamptering (CVE-2025-9086)

CVSS 7.4 (High)

Neautentizovanému vzdialenému útočníkovi je za určitých nepredvídateľných okolností umožnené prepísať súbor cookie s atribútom "Secure" alebo vykonať DoS útok [1].

Zraniteľnosť sa nachádza v produkte Curl vo verziách >=7.31.0 AND <8.16.0.

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:H

Viac informácií:

CVE-2025-9086 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-125: Out-of-bounds Read at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 10. 9. 2025.

Curl - proxy cache poisoning (CVE-2025-10148)

CVSS 5.9 (Medium)

Neautentizovanému vzdialenému útočníkovi je za určitých špecifických okolností umožnené podvrhnúť WebSocket komunikáciu a spôsobiť tak otrávenie cache v proxy, ktorá bude komunikáciu považovať za platný HTTP obsah. Podmienkou zneužitia zraniteľnosti je nešifrovaná komunikácia pomocou WebSocket protokolu [2].

Zraniteľnosť sa nachádza v produkte Curl vo verziách >=8.11.0 AND <8.16.0.

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N