Síntesis
Se han publicado actualizaciones de seguridad que solucionan una vulnerabilidad en cURL, una popular herramienta de línea de comandos y biblioteca de transferencia de datos. Esta vulnerabilidad afecta al analizador ASN1 de libcurl, en la función GTime2str(): si se proporciona un campo adecuadamente diseñado, un usuario malintencionado podría comprometer la disponibilidad del servicio y/o acceder a la información presente en la memoria de la aplicación.
Riesgo
Impacto estimado de la vulnerabilidad en la comunidad de referencia: MEDIO/AMARILLO (63,58/100)1.
Tipología
- Denial of Service
- Information Disclosure
Productos y versiones afectados
cURL, versiones 7.32.0 a 8.9.0
Acciones de mitigacion
De acuerdo con las declaraciones del proveedor, se recomienda actualizar los productos vulnerables siguiendo las instrucciones del boletín de seguridad informado en la sección Referencias.
Identificadores únicos de vulnerabilidad
Referencias
https://curl.se/docs/CVE-2024-7264.html
1Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de parches/soluciones alternativas y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.
