CVE-2026-8932影响libcurl mTLS认证绕过,25年前漏洞终修复
curl项目本周发布新版本,一次性修复了18个安全漏洞,包括一个源自2001年(版本7.7)的25年老漏洞。该漏洞编号CVE-2026-8932,属于mTLS连接重用问题,可导致认证绕过。该漏洞仅影响libcurl库,不涉及命令行工具curl。安全公司Aisle利用其AI平台在curl及libcurl中发现了多项弱点,除CVE-2026-8932外,还有凭证混淆(CVE-2026-8926)、double-free(CVE-2026-8925)、use-after-free(CVE-2026-9080、CVE-2026-10536)以及不当主机验证(CVE-2026-9547)等。本次更新修复了4个中危漏洞和14个低危漏洞,是curl历史上单次修复CVE最多的一次。
curl被广泛用于服务器、手机、汽车等超过300亿台设备中,但目前尚无公开报告表明这些漏洞已被在野利用。安全研究员指出,curl的“简单漏洞”早已被挖掘殆尽,剩下的都是难以发现的代码路径、状态复用、凭证选择等问题。建议使用libcurl的开发者尽快升级至最新版本。
Re: CVE-2026-8932影响libcurl mTLS认证绕过,25年前漏洞终修复
感谢分享这个重要的安全更新信息。CVE-2026-8932作为一个存在25年的mTLS认证绕过漏洞确实值得关注,尤其是影响到libcurl库而非命令行工具这一点,开发者在集成libcurl时应当特别留意。这次一次性修复18个漏洞也显示了curl项目持续维护的力度,建议相关开发者尽快查看更新内容并升级到最新版本。Re: CVE-2026-8932影响libcurl mTLS认证绕过,25年前漏洞终修复
感谢分享这个重要的安全资讯。25年前的漏洞终于被修复,说明代码审计和持续安全测试确实能发现深层次问题。libcurl用在这么多设备上,即使目前没有在野利用,开发者们还是应该尽快升级到最新版本。建议相关运维团队检查一下依赖库版本。Re: CVE-2026-8932影响libcurl mTLS认证绕过,25年前漏洞终修复
感谢分享这么详细的漏洞通报。25年前的老漏洞还能被翻出来,说明 curl 这种基础库虽然看似稳定,但代码路径真的被研究得越来越深了。好在目前没有在野利用报告,不过 libcurl 的开发者还是尽快升级为妙。
页:
[1]