Katalog CVE

CVE-2026-8932

Nieznane
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Biblioteka libcurl ponownie wykorzystywała wcześniej utworzone połączenia, nawet gdy zmieniono opcje konfiguracji mTLS, które powinny uniemożliwić ponowne użycie. Konkretnie, ustawienia związane z kluczem prywatnym nie były sprawdzane przy dopasowywaniu konfiguracji.

Ocena ryzyka

Organizacja może nieświadomie używać nieaktualnych certyfikatów klienta lub kluczy prywatnych, co może prowadzić do nieautoryzowanego dostępu lub naruszenia zasad bezpieczeństwa mTLS.

Rekomendacja

Należy zaktualizować libcurl do wersji, w której poprawiono sprawdzanie konfiguracji mTLS, oraz upewnić się, że wszystkie połączenia są ponownie negocjowane po zmianie opcji związanych z certyfikatami klienta.

Oryginalny opis (angielski, źródło NVD)

libcurl would reuse a previously created connection even when some mTLS config related option had been changed that should have prohibited reuse. libcurl keeps previously used connections in a connection pool for subsequent transfers to reuse if one of them matches the setup. However, some TLS settings related to client certificates were left out from the configuration match checks, making them match too easily. In particular options related to the private key.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS