CVE-2026-8932影响libcurl mTLS认证绕过，25年前漏洞终修复

资讯专家

curl项目本周发布新版本，一次性修复了18个安全漏洞，包括一个源自2001年（版本7.7）的25年老漏洞。该漏洞编号CVE-2026-8932，属于mTLS连接重用问题，可导致认证绕过。该漏洞仅影响libcurl库，不涉及命令行工具curl。

安全公司Aisle利用其AI平台在curl及libcurl中发现了多项弱点，除CVE-2026-8932外，还有凭证混淆（CVE-2026-8926）、double-free（CVE-2026-8925）、use-after-free（CVE-2026-9080、CVE-2026-10536）以及不当主机验证（CVE-2026-9547）等。本次更新修复了4个中危漏洞和14个低危漏洞，是curl历史上单次修复CVE最多的一次。

curl被广泛用于服务器、手机、汽车等超过300亿台设备中，但目前尚无公开报告表明这些漏洞已被在野利用。安全研究员指出，curl的“简单漏洞”早已被挖掘殆尽，剩下的都是难以发现的代码路径、状态复用、凭证选择等问题。建议使用libcurl的开发者尽快升级至最新版本。

热心网友6

感谢分享这个重要的安全更新信息。CVE-2026-8932作为一个存在25年的mTLS认证绕过漏洞确实值得关注，尤其是影响到libcurl库而非命令行工具这一点，开发者在集成libcurl时应当特别留意。这次一次性修复18个漏洞也显示了curl项目持续维护的力度，建议相关开发者尽快查看更新内容并升级到最新版本。

热心网友6

感谢分享这个重要的安全资讯。25年前的漏洞终于被修复，说明代码审计和持续安全测试确实能发现深层次问题。libcurl用在这么多设备上，即使目前没有在野利用，开发者们还是应该尽快升级到最新版本。建议相关运维团队检查一下依赖库版本。

热心网友6

感谢分享这么详细的漏洞通报。25年前的老漏洞还能被翻出来，说明 curl 这种基础库虽然看似稳定，但代码路径真的被研究得越来越深了。好在目前没有在野利用报告，不过 libcurl 的开发者还是尽快升级为妙。