NVD-CVE-2024-11053
Esta vulnerabilidad ha sido recibida por el NVD y no ha sido analizada.
Descripción
Cuando se le pide que use un archivo `.netrc` para las credenciales y que siga las redirecciones HTTP, curl podría filtrar la contraseña utilizada para el primer host al siguiente host en determinadas circunstancias. Esta falla solo se manifiesta si el archivo netrc tiene una entrada que coincide con el nombre de host de destino de redirección, pero la entrada omite solo la contraseña u omite tanto el inicio de sesión como la contraseña.
Métrica
Los esfuerzos de enriquecimiento de NVD hacen referencia a información disponible públicamente para asociar cadenas de vectores. También se muestra información CVSS aportada por otras fuentes.
Referencias a avisos, soluciones y herramientas
Al seleccionar estos enlaces, abandonará el espacio web del NIST. Hemos proporcionado estos enlaces a otros sitios web porque pueden tener información que podría ser de su interés. No se deben sacar inferencias sobre si se hace referencia o no a otros sitios desde esta página. Es posible que existan otros sitios web que sean más apropiados para su propósito. El NIST no respalda necesariamente las opiniones expresadas ni está de acuerdo con los hechos presentados en estos sitios. Además, el NIST no respalda ningún producto comercial que pueda mencionarse en estos sitios. Por favor dirija sus comentarios sobre esta página a nvd@nist.gov.
Historial de cambios
3 registros de cambios encontrados mostrar cambios
CVE modificado por CISA-ADP 11/12/2024 10:15:07
Acción | Tipo | Valor antiguo | Nuevo valor |
---|---|---|---|
Agregado | CVSS V3.1 |
|
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
|
CVE modificado por CVE 11/12/2024 5:15:05
Acción | Tipo | Valor antiguo | Nuevo valor |
---|---|---|---|
Agregado | Referencia |
|
http://www.openwall.com/lists/oss-security/2024/12/11/1
|
Nuevo CVE recibido de curl 11/12/2024 3:15:05
Acción | Tipo | Valor antiguo | Nuevo valor |
---|---|---|---|
Agregado | Descripción |
|
When asked to both use a `.netrc` file for credentials and to follow HTTP redirects, curl could leak the password used for the first host to the followed-to host under certain circumstances. This flaw only manifests itself if the netrc file has an entry that matches the redirect target hostname but the entry either omits just the password or omits both login and password.
|
Agregado | Referencia |
|
https://curl.se/docs/CVE-2024-11053.html
|
Agregado | Referencia |
|
https://curl.se/docs/CVE-2024-11053.json
|
Agregado | Referencia |
|
https://hackerone.com/reports/2829063
|