漏洞标题
N/A
漏洞描述信息
如果主机名后面有小数点,libcurl会错误地允许为顶级域名(TLDs)设置cookie。可以告诉curl接收和发送cookie。curl的“cookie引擎”可以以或不使用[公共 suffix 列表](https://publicsuffix.org/)的 awareness 构建。如果没有提供PSL支持,存在一种更原始的检查,至少可以防止在TLDs上设置cookie。如果URL中的主机名使用小数点,此检查被破坏。这允许任意网站设置cookie,然后将其发送到不同的无关的网站或域名。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
libcurl wrongly allows cookies to be set for Top Level Domains (TLDs) if thehost name is provided with a trailing dot.curl can be told to receive and send cookies. curl's "cookie engine" can bebuilt with or without [Public Suffix List](https://publicsuffix.org/)awareness. If PSL support not provided, a more rudimentary check exists to atleast prevent cookies from being set on TLDs. This check was broken if thehost name in the URL uses a trailing dot.This can allow arbitrary sites to set cookies that then would get sent to adifferent and unrelated site or domain.
CVSS信息
N/A
漏洞类别
通过发送数据的信息暴露
漏洞标题
curl 安全漏洞
漏洞描述信息
curl是一款用于从服务器传输数据或向服务器传输数据的工具。 curl 存在安全漏洞,攻击者利用该漏洞可以将任意站点设置cookie发送到不同且不相关的站点或域。
CVSS信息
N/A
漏洞类别
其他