一、 漏洞 CVE-2023-28319 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在CURL<v8.1.0中存在一种使用后释放的漏洞,通过libcurl提供的一个功能,使用SHA-256哈希验证SSH服务器的公钥。当此检查失败时,libcurl会在返回包含(现在已释放)哈希的错误消息之前释放指纹内存。这个漏洞可能将敏感堆数据插入到错误消息中,这可能会被展示给用户或泄露和公开。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
释放后使用
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A use after free vulnerability exists in curl <v8.1.0 in the way libcurl offers a feature to verify an SSH server's public key using a SHA 256 hash. When this check fails, libcurl would free the memory for the fingerprint before it returns an error message containing the (now freed) hash. This flaw risks inserting sensitive heap-based data into the error message that might be shown to users or otherwise get leaked and revealed.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
释放后使用
来源:美国国家漏洞数据库 NVD
漏洞标题
libcurl 资源管理错误漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
libcurl是一款用于从服务器传输数据或向服务器传输数据的工具。 libcurl 存在安全漏洞,该漏洞源于libcurl 提供了使用 SHA 256 哈希验证 SSH 服务器公钥的功能,当此检查失败时,libcurl 会在返回包含(现已释放的)哈希的错误消息之前释放指纹的内存,导致信息泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
资源管理错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-28319 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-28319 的情报信息