CVE-2024-6197


2024. október 9. 11:54

Open Source Curl sérülékenysége
Angol cím: Open Source Curl Vulnerability

Publikálás dátuma: 2024.07.24.
Utolsó módosítás dátuma: 2024.08.26.

Leírás

A program kétszer hívja meg a free() függvényt ugyanarra a memóriacímre, ami a váratlan memóriahelyek módosításához vezethet.

Leírás forrása: CWE-415

Elemzés leírás

Eredeti nyelven: The vulnerability allows a remote attacker to execute arbitrary code on the target system.

The vulnerability exists due to a boundary error in ASN1 parser within the utf8asn1str() function. A remote attacker can pass specially crafted TLS certificate to the application, trigger double free error and execute arbitrary code on the target system.

The vulnerable code can only be reached when curl is built to use GnuTLS, wolfSSL, Schannel or Secure Transport.

Elemzés leírás forrása: CVE-2024-6197

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 7.5 (Magas)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Impact Score: 3.6
Exploitability Score: 3.9

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): None
Integrity Impact (I): None
Availability Impact (A): High

Következmények

Loss of integrity (Sértetlenség elvesztése)

Hivatkozások

curl.se

Sérülékeny szoftverek

cURL: 8.6.0 - 8.8.0

Címkék

cURL

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2024-12912 – ASUS Router AiCloud sérülékenysége
CVE-2025-58034 – Fortinet FortiWeb OS Command Injection sérülékenysége
CVE-2025-13224 – Google Chrome sérülékenysége
CVE-2025-13223 – Google Chromium V8 Type Confusion sérülékenysége
CVE-2025-24893 – XWiki Platform Eval Injection sérülékenysége
CVE-2025-25256 – Fortinet FortiSIEM sebezhetősége
CVE-2022-40684 – Fortinet Multiple Products Authentication Bypass sebezhetősége
CVE-2025-59367 – ASUS DSL Router sérülékenysége
CVE-2025-64446 – Fortinet FortiWeb Path Traversal sérülékenysége
Tovább a sérülékenységekhez »