Vulnerabilidad en curl (CVE-2025-13034)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-295 Validación incorrecta de certificados

Fecha de publicación:

08/01/2026

Última modificación:

20/01/2026

Descripción

Al usar la opción &#39;CURLOPT_PINNEDPUBLICKEY&#39; con libcurl o &#39;--pinnedpubkey&#39; con la herramienta curl, curl debería verificar la clave pública del certificado del servidor para verificar el par.<br /> <br /> Esta verificación se omitió en una determinada condición que luego haría que curl permitiera la conexión sin realizar la verificación adecuada, sin notar así un posible impostor. Para omitir esta verificación, la conexión tenía que hacerse con QUIC con ngtcp2 compilado para usar GnuTLS y el usuario tenía que deshabilitar explícitamente la verificación estándar del certificado.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.90 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno