Vulnérabilité dans cURL

Une vulnérabilité a été découverte dans cURL. Un attaquant distant peut pousser un utilisateur à écraser le contenu d’un fichier local avec un contenu arbitraire.

CVE-2020-8177 [Score CVSS v3 : 8.1] : Une vulnérabilité permettant l’écriture dans un fichier arbitraire a été découverte dans cURL. Un attaquant distant en possession d’un serveur et exploitant cette vulnérabilité peut remplacer le contenu d’un fichier local (dans la limite des droits de l’utilisateur affecté). L’exploitation nécessite d’inciter un utilisateur à exécuter une commande cURL comportant des paramètres spécialement conçus pour déclencher un bogue menant à l’écriture du fichier.

Informations
+

Risques

  • Écriture dans un fichier arbitraire

Criticité

  • Score CVSS v3 : 8.1

Existence d’un code d’exploitation

  • Aucun code d’exploitation n’est disponible publiquement à ce jour

Composants vulnérables

  • Toutes versions de cURL entre la version 7.20.0 et 7.71.0 (non-incluse)

CVE

  • CVE-2020-8177


Recommandations
+

Mise en place de correctifs de sécurité

  • Mettre à jour cURL vers la version 7.71.0 ou supérieure

Solution de contournement

  • Aucune solution de contournement n’est disponible