Os mantenedores da biblioteca Curl emitiram um aviso sobre duas vulnerabilidades de segurança que deverão ser corrigidas em uma atualização programada para ser lançada em 11 de outubro de 2023.

As falhas são classificadas em termos de gravidade como alta e baixa, e são rastreadas sob os identificadores CVE-2023-38545 e CVE-2023-38546, respectivamente.

Detalhes adicionais sobre as questões e as versões exatas afetadas foram retidos devido à possibilidade de que essas informações possam ser usadas para identificar a área problemática com alta precisão.

Curl, alimentado por libcurl, é uma ferramenta de linha de comando popular para transferência de dados especificados com sintaxe de URL. A ferramenta suporta uma ampla gama de protocolos, incluindo FTP(S), HTTP(S), IMAP(S), LDAP(S), MQTT, POP3, RTMP(S), SCP, SFTP, SMB(S), SMTP(S), TELNET, WS e WSS.

A vulnerabilidade CVE-2023-38545 afeta tanto libcurl quanto curl, enquanto a CVE-2023-38546 afeta apenas libcurl. Embora os detalhes da faixa de versão específica não tenham sido divulgados para evitar a identificação do problema antes do lançamento, as vulnerabilidades serão corrigidas na versão 8.4.0 do Curl.

As organizações são aconselhadas a fazer um inventário urgente e a escanear todos os sistemas que utilizam curl e libcurl. Isso é essencial para identificar versões potencialmente vulneráveis assim que os detalhes forem divulgados com o lançamento do Curl 8.4.0 em 11 de outubro.