Curl 7.31.0 < 8.16.0 超出邊界讀取 (CVE-2025-9086)
low Nessus Plugin ID 264603
語言:
概要
遠端主機具有缺少安全性更新的程式說明
遠端主機上安裝的 Curl 版本是 7.31.0 之前的 8.16.0版。因此,它會受到 CVE-2025-9086 公告中提及的一個弱點影響。- 已使用 https://target的 secure 關鍵字設定 cookie。Curl 會重新導向至 或以其他方式要求其與 http://target (相同主機名稱但使用純文字 HTTP) 使用相同的 cookie 集。已設定相同的 cookie 名稱但只有一個斜線作為路徑 (path='/')。由於此網站不安全因此應忽略 cookie。路徑比較邏輯中的一個錯誤會使 curl 在堆積緩衝區邊界之外讀取。 (CVE-2025-9086)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級爲 Curl 8.16.0 或更高版本另請參閱
Plugin 詳細資訊
嚴重性: Low
ID: 264603
檔案名稱: curl_CVE-2025-9086.nasl
版本: 1.1
類型: local
代理程式: windows, macosx, unix
系列: Misc.
已發布: 2025/9/12
已更新: 2025/9/12
支援的感應器: Nessus Agent, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.9
CVSS v2
風險因素: Low
基本分數: 2.6
媒介: CVSS2#AV:N/AC:H/Au:N/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2025-9086
CVSS v3
風險因素: Low
基本分數: 3.1
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:L/A:N
弱點資訊
CPE: cpe:/a:haxx:curl
必要的 KB 項目: installed_sw/Curl
修補程式發佈日期: 2025/9/10
弱點發布日期: 2025/9/10
參考資訊
CVE: CVE-2025-9086
IAVA: 2025-A-0657