一、 漏洞 CVE-2023-28322 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在执行HTTP(S)传输时,CURL <v8.1.0>存在一个信息泄露漏洞,如果libcurl错误地使用读取回调函数(`CURLOPT_READFUNCTION`)要求发送数据,即使设置了`CURLOPT_POSTFIELDS`选项,如果这个回调函数之前被用于发送一个使用该回调函数的`PUT`请求。此漏洞可能会让应用程序感到意外,并导致它异常行为,在第二次传输中发送错误的数据或者使用释放后的内存或类似的情况。问题存在于 reuse handle 的逻辑中,当该 handle expected to be changed from a PUT to a POST 时。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:H
来源:AIGC 神龙大模型
漏洞类别
信息暴露
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
An information disclosure vulnerability exists in curl <v8.1.0 when doing HTTP(S) transfers, libcurl might erroneously use the read callback (`CURLOPT_READFUNCTION`) to ask for data to send, even when the `CURLOPT_POSTFIELDS` option has been set, if the same handle previously wasused to issue a `PUT` request which used that callback. This flaw may surprise the application and cause it to misbehave and either send off the wrong data or use memory after free or similar in the second transfer. The problem exists in the logic for a reused handle when it is (expected to be) changed from a PUT to a POST.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
信息暴露
来源:美国国家漏洞数据库 NVD
漏洞标题
libcurl 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
libcurl是一款用于从服务器传输数据或向服务器传输数据的工具。 libcurl 存在安全漏洞,该漏洞源于重用句柄的逻辑中存在问题。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-28322 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-28322 的情报信息