Katalog CVE

CVE-2026-11856

Nieznane
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w bibliotece libcurl powoduje, że przy ponownym użyciu uchwytu do transferów HTTP z uwierzytelnianiem Digest, nagłówek Authorization przeznaczony dla pierwotnego hosta jest błędnie przekazywany do innego hosta. Problem występuje, gdy po udanym transferze do hostA z uwierzytelnianiem Digest zmieniany jest cel na hostB.

Ocena ryzyka

Organizacja narażona jest na wyciek danych uwierzytelniających do nieuprawnionego serwera, co może prowadzić do nieautoryzowanego dostępu do zasobów lub ataków typu man-in-the-middle.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę libcurl do wersji, w której usunięto tę podatność, oraz przejrzeć kod aplikacji używających ponownie uchwytów curl z uwierzytelnianiem Digest.

Oryginalny opis (angielski, źródło NVD)

Successfully using libcurl to do a transfer to a specific HTTP origin (`hostA`) with **Digest** authentication and then changing the origin to a different one (`hostB`) for a second transfer, reusing the same handle, makes libcurl wrongly pass on the `Authorization:` header field meant for `hostA`, to `hostB`.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS