一、 漏洞 CVE-2016-8622 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在libcurl 7.51.0之前,URLpercent-encoding解码函数被称为`curl_easy_unescape`. internally,即使该函数将分配一个大于2GB的解编码目标缓冲区,它仍将返回该新长度在一个 signed 32 bit 整数变量中,因此长度将可能被截断或截断并变为负数。这可能导致libcurl将写入其基于堆缓冲区之外。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The URL percent-encoding decode function in libcurl before 7.51.0 is called `curl_easy_unescape`. Internally, even if this function would be made to allocate a unscape destination buffer larger than 2GB, it would return that new length in a signed 32 bit integer variable, thus the length would get either just truncated or both truncated and turned negative. That could then lead to libcurl writing outside of its heap based buffer.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
整数溢出或超界折返
来源:美国国家漏洞数据库 NVD
漏洞标题
Haxx libcurl 缓冲区错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Haxx libcurl是瑞典Haxx公司的一个免费、开源的客户端URL传输库。该库支持FTP、FTPS、TFTP、HTTP等。 Haxx libcurl 7.51.0之前版本中的‘URL percent-encoding decode’函数存在越界写入漏洞。攻击者可利用该漏洞绕过安全限制,执行未授权操作。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
缓冲区错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2016-8622 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2016-8622 的情报信息