Vulnerabilidad en cURL y libcurl (CVE-2013-4545)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-310
Errores criptográficos
Fecha de publicación:
23/11/2013
Última modificación:
11/04/2025
Descripción
cURL y libcurl 7.18.0 hasta la versión 7.32.0, cuando es compilado con OpenSSL, desactiva la verificación del nombre de campos del certificado CN y SAN (CURLOPT_SSL_VERIFYHOST) cuando la verificación de firma digital (CURLOPT_SSL_VERIFYPEER) está desactivada, lo que permite a atacantes man-in-the-middle falsificar servidores SSL a través de un certificado válido arbitrario.
Impacto
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:haxx:curl:7.18.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:curl:7.18.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:curl:7.18.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:curl:7.19.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:curl:7.19.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:curl:7.19.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:curl:7.19.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:curl:7.19.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:curl:7.19.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:curl:7.19.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:curl:7.19.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:curl:7.20.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:curl:7.20.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:curl:7.21.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:haxx:curl:7.21.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://curl.haxx.se/docs/adv_20131115.html
- http://lists.opensuse.org/opensuse-updates/2013-12/msg00047.html
- http://lists.opensuse.org/opensuse-updates/2013-12/msg00053.html
- http://www.debian.org/security/2013/dsa-2798
- http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html
- http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html
- http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
- http://www.ubuntu.com/usn/USN-2048-1
- https://h20564.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c04463322
- http://curl.haxx.se/docs/adv_20131115.html
- http://lists.opensuse.org/opensuse-updates/2013-12/msg00047.html
- http://lists.opensuse.org/opensuse-updates/2013-12/msg00053.html
- http://www.debian.org/security/2013/dsa-2798
- http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html
- http://www.oracle.com/technetwork/topics/security/cpujan2015-1972971.html
- http://www.oracle.com/technetwork/topics/security/cpujul2015-2367936.html
- http://www.ubuntu.com/usn/USN-2048-1
- https://h20564.www2.hp.com/hpsc/doc/public/display?docId=emr_na-c04463322