Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en libcurl (CVE-2017-1000099)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
05/10/2017
Última modificación:
20/04/2025

Descripción

A la hora de pedir un archivo de una URL de tipo "file://", libcurl ofrece una característica que envía metadatos sobre el archivo mediante cabeceras HTTP. El código responsable de esto enviaría el búfer erróneo al usuario (stdout o la llamada de vuelta de la aplicación), lo que podría provocar que otros datos privados de la memoria dinámica (heap) se muestren en consecuencia. El búfer erróneo es un área no inicializada de la memoria asignada en la memoria dinámica y si resulta que no tienen ningún byte con valor cero, continuaría y mostraría los datos que siguen a ese búfer en la memoria.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:haxx:libcurl:7.54.1:*:*:*:*:*:*:*