一、 漏洞 CVE-2023-27535 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在libcurl <8.0.0>中,存在一个密码绕过漏洞,该漏洞可能导致在后续传输过程中使用错误的凭据。如果先前创建的连接与当前设置匹配,它们会被保存在连接池中以便 reuse。然而,某些FTP设置,如 CURLOPT_FTP_ACCOUNT、 CURLOPT_FTP_ALTERNATIVE_TO_USER、 CURLOPT_FTP_SSL_CCC 和 CURLOPT_USE_SSL,在配置匹配检查中没有包含,导致它们很容易匹配。这可能导致libcurl在执行传输时使用错误的凭据,可能导致未经授权访问敏感信息。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An authentication bypass vulnerability exists in libcurl <8.0.0 in the FTP connection reuse feature that can result in wrong credentials being used during subsequent transfers. Previously created connections are kept in a connection pool for reuse if they match the current setup. However, certain FTP settings such as CURLOPT_FTP_ACCOUNT, CURLOPT_FTP_ALTERNATIVE_TO_USER, CURLOPT_FTP_SSL_CCC, and CURLOPT_USE_SSL were not included in the configuration match checks, causing them to match too easily. This could lead to libcurl using the wrong credentials when performing a transfer, potentially allowing unauthorized access to sensitive information.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
使用基本弱点进行的认证绕过
来源:美国国家漏洞数据库 NVD
漏洞标题
curl 授权问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
curl是一款用于从服务器传输数据或向服务器传输数据的工具。 curl 8.0之前版本存在安全漏洞,该漏洞源于存在身份验证绕过漏洞,可能允许未经授权访问敏感信息。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-27535 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-27535 的情报信息