Vulnérabilité dans cURL
Date de publication :
Une vulnérabilité a été découverte dans cURL. Un attaquant distant peut pousser un utilisateur à écraser le contenu d’un fichier local avec un contenu arbitraire.
CVE-2020-8177 [Score CVSS v3 : 8.1] : Une vulnérabilité permettant l’écriture dans un fichier arbitraire a été découverte dans cURL. Un attaquant distant en possession d’un serveur et exploitant cette vulnérabilité peut remplacer le contenu d’un fichier local (dans la limite des droits de l’utilisateur affecté). L’exploitation nécessite d’inciter un utilisateur à exécuter une commande cURL comportant des paramètres spécialement conçus pour déclencher un bogue menant à l’écriture du fichier.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Écriture dans un fichier arbitraire
Criticité
Score CVSS v3 : 8.1
Existence d’un code d’exploitation
Aucun code d’exploitation n’est disponible publiquement à ce jour
Composants vulnérables
Toutes versions de cURL entre la version 7.20.0 et 7.71.0 (non-incluse)
CVE
CVE-2020-8177
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour cURL vers la version 7.71.0 ou supérieure
Solution de contournement
Aucune solution de contournement n’est disponible