一、 漏洞 CVE-2018-16890 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
从7.36.0到7.64.0之间的libcurl版本存在内存缓冲区越界读取漏洞。处理 incoming NTLM type-2消息的函数 (`lib/vauth/ntlm.c:ntlm_decode_type2_target`) 未正确验证 incoming data,因此受整数溢出漏洞的影响。利用这个溢出漏洞,恶意或 broken NTLM服务器可能会欺骗libcurl接受一个导致缓冲区越界的length + offset组合。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
libcurl versions from 7.36.0 to before 7.64.0 is vulnerable to a heap buffer out-of-bounds read. The function handling incoming NTLM type-2 messages (`lib/vauth/ntlm.c:ntlm_decode_type2_target`) does not validate incoming data correctly and is subject to an integer overflow vulnerability. Using that overflow, a malicious or broken NTLM server could trick libcurl to accept a bad length + offset combination that would lead to a buffer read out-of-bounds.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
跨界内存读
来源:美国国家漏洞数据库 NVD
漏洞标题
Haxx libcurl 缓冲区错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Haxx libcurl是瑞典Haxx公司的一筐开源的客户端URL传输库。该产品支持FTP、SFTP、TFTP和HTTP等协议。 Haxx libcurl 7.36.0版本至7.64.0版本中的‘lib / vauth / ntlm.c:ntlm_decode_type2_target’函数存在越界读取漏洞,该漏洞源于用于处理传入的NTLM Type-2消息的函数没有正确验证传入的数据。远程攻击者可利用该漏洞获取敏感信息或造成拒绝服务。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
缓冲区错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2018-16890 的公开POC
# POC 描述 源链接 神龙链接
1 CVE-2018-16890 https://github.com/zjw88282740/CVE-2018-16890 POC详情
2 CVE-2018-16890 https://github.com/michelleamesquita/CVE-2018-16890 POC详情
三、漏洞 CVE-2018-16890 的情报信息