一、 漏洞 CVE-2022-32206 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
CURL < 7.84.0 支持 "链式" HTTP 压缩算法,这意味着服务器响应可以多次压缩,并且可能使用不同的算法。在这种 "压缩链" 中的可接受 "链接" 数量是没有限制的,允许恶意服务器插入 virtually 无限的压缩步骤。使用这样的压缩链可能导致 "malloc bomb",使 CURL 最终花费巨大的分配堆内存,或者尝试并返回内存错误。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
curl < 7.84.0 supports "chained" HTTP compression algorithms, meaning that a serverresponse can be compressed multiple times and potentially with different algorithms. The number of acceptable "links" in this "decompression chain" was unbounded, allowing a malicious server to insert a virtually unlimited number of compression steps.The use of such a decompression chain could result in a "malloc bomb", makingcurl end up spending enormous amounts of allocated heap memory, or trying toand returning out of memory errors.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
不加限制或调节的资源分配
来源:美国国家漏洞数据库 NVD
漏洞标题
curl 资源管理错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
curl是一款用于从服务器传输数据或向服务器传输数据的工具。 curl 7.57.0版本到7.83.1版本存在资源管理错误漏洞,该漏洞源于curl支持的链式HTTP压缩算法缺少对于链接的数量限制。攻击者利用该漏洞可以会导致内存分配过大从而导致堆错误。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
资源管理错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2022-32206 的公开POC
# POC 描述 源链接 神龙链接
1 None https://github.com/HimanshuS67/external_curl_AOSP10_CVE-2022-32206 POC详情
三、漏洞 CVE-2022-32206 的情报信息