1
NewsletterOficial
2 min de leitura ·

Pesquisadores identificam vulnerabilidade mais antiga já encontrada no cURL

A CVE-2026-8932, presente desde versões lançadas em 2001, ocorre quando o libcurl reaproveita uma conexão já aberta mesmo após mudanças na configuração de autenticação, como certificado de cliente ou chave privada. A correção está disponível na versão 8.21.0, que também inclui outras 17 CVEs, listadas abaixo.

CVE-2026-8286: reutilização incorreta de conexão com STARTTLS (BAIXA gravidade)
https://curl.se/docs/CVE-2026-8286.html

CVE-2026-8458: reutilização incorreta entre diferentes serviços (BAIXA gravidade)
https://curl.se/docs/CVE-2026-8458.html

CVE-2026-8924: “super cookie” de domínio com ponto final (BAIXA gravidade)
https://curl.se/docs/CVE-2026-8924.html

CVE-2026-8925: double free no SASL (MÉDIA gravidade)
https://curl.se/docs/CVE-2026-8925.html

CVE-2026-8926: vazamento de senha com .netrc e usuário na URL (BAIXA gravidade)
https://curl.se/docs/CVE-2026-8926.html

CVE-2026-8927: vazamento de estado de autenticação Digest entre proxies via variável de ambiente (MÉDIA gravidade)
https://curl.se/docs/CVE-2026-8927.html

CVE-2026-9079: vazamento de senha de proxy em estado antigo (MÉDIA gravidade)
https://curl.se/docs/CVE-2026-9079.html

CVE-2026-9080: use-after-free após pausa em callback de socket (BAIXA gravidade)
https://curl.se/docs/CVE-2026-9080.html

CVE-2026-9545: exposição de early data no HTTP/3 (BAIXA gravidade)
https://curl.se/docs/CVE-2026-9545.html

CVE-2026-9546: envio de Referer antigo (BAIXA gravidade)
https://curl.se/docs/CVE-2026-9546.html

CVE-2026-9547: validação incorreta de host em SSH (BAIXA gravidade)
https://curl.se/docs/CVE-2026-9547.html

CVE-2026-10536: use-after-free na árvore de dependência de streams HTTP/2 (BAIXA gravidade)
https://curl.se/docs/CVE-2026-10536.html

CVE-2026-11352: loop de consumo de CPU com datagramas UDP de tamanho zero no QUIC (BAIXA gravidade)
https://curl.se/docs/CVE-2026-11352.html

CVE-2026-11564: persistência indevida de confiança em CAs do sistema (BAIXA gravidade)
https://curl.se/docs/CVE-2026-11564.html

CVE-2026-11586: esgotamento de memória por auto-PONG em WebSockets (BAIXA gravidade)
https://curl.se/docs/CVE-2026-11586.html

CVE-2026-11856: vazamento de estado de autenticação Digest entre origens diferentes (MÉDIA gravidade)
https://curl.se/docs/CVE-2026-11856.html

CVE-2026-12064: verificação SSH ignorada quando protocolo padrão é usado (BAIXA gravidade)
https://curl.se/docs/CVE-2026-12064.html

Carregando publicação patrocinada...