Los mantenedores de la biblioteca de rizos han publicado una advertencia sobre dos vulnerabilidades de seguridad que se espera que se solucionen como parte de una próxima actualización que se lanzará el 11 de octubre de 2023.
Este incluye una falla de alta y baja gravedad rastreada bajo los identificadores CVE-2023-38545 y CVE-2023-38546, respectivamente.
Se han ocultado detalles adicionales sobre los problemas y los rangos exactos de versiones afectadas debido a la posibilidad de que la información pueda usarse para «ayudar a identificar el problema (área) con una precisión muy alta».
Dicho esto, se dice que las versiones de los «últimos años» de la biblioteca se verán afectadas.
«Claro, existe un riesgo minúsculo de que alguien pueda encontrar esto (otra vez) antes de que enviemos el parche, pero este problema no ha sido detectado durante años por una razón», dijo Daniel Stenberg, el principal desarrollador detrás del proyecto, en un mensaje publicado. en GitHub.
Curl, impulsado por libcurl, es un popular herramienta de línea de comandos para transferir datos especificados con sintaxis de URL. Admite una amplia gama de protocolos como FTP(S), HTTP(S), IMAP(S), LDAP(S), MQTT, POP3, RTMP(S), SCP, SFTP, SMB(S), SMTP(S ), TELNET, WS y WSS.
Mientras que 2023-38545 afecta tanto a libcurl como a curl, CVE-2023-38546 afecta solo a libcurl.
«Con detalles específicos del rango de versiones no revelados para evitar la identificación de problemas previos al lanzamiento, las vulnerabilidades se solucionarán en la versión curl 8.4.0», Saeed Abbasi, gerente de producto de la Unidad de Investigación de Amenazas de Qualys (TRU), dicho.
«Las organizaciones deben inventariar y escanear urgentemente todos los sistemas que utilizan curl y libcurl, anticipando la identificación de versiones potencialmente vulnerables una vez que se revelen los detalles con el lanzamiento de Curl 8.4.0 el 11 de octubre».