远程主机上安装的 curl 版本低于 7.83.0。因此，该应用程序受到 SSA:2022-117-01 公告中提及的多个漏洞的影响。

  - curl 7.83.0 版中修复的凭据保护不充分漏洞可能会在 HTTP 重定向到相同主机不同端口号时泄漏身份认证或 Cookie 标头数据。(CVE-2022-27776)

  - curl 7.33.0 至 7.82.0（含）版本中存在一个不当认证漏洞，从而可能允许在未正确确保已使用为传输设置的相同凭据来认证连接的情况下，重复使用经 OAUTH2 认证的连接。此漏洞会影响启用了 SASL 的协议：SMPTP(S)、IMAP(S)、POP3(S) 和 LDAP(S)（仅限 openldap）。(CVE-2022-22576)

  - curl 4.9 至 7.82.0 版（含）存在凭据保护不充分漏洞，允许攻击者在遵循身份验证中结合使用的 HTTP(S) 重定向时提取凭据，将凭据泄露给不同协议或端口号上的其他服务。
    (CVE-2022-27774)

  - curl 7.65.0 至 7.82.0 中存在信息泄露漏洞，在使用连接池中具有不同区域 ID 的 IPv6 地址时，它可能会重复使用连接。(CVE-2022-27775)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

Slackware Linux 14.0/14.1/14.2/15.0/最新版 curl 多个漏洞 (SSA:2022-117-01)

high Nessus 插件 ID 160273

版本 1.7

版本 1.6

版本 1.7 Oct 31, 2023, 1:53 PM CVSS temporal metrics ("CVSSv2 temporal vector" set to "CVSS2#E:F/RL:OF/RC:C". "CVSSv3 temporal vector" set to "CVSS:3.0/E:F/RL:O/RC:C") Exploit attributes ("Exploit available" set to "True". "Exploitability ease" changed from "No known exploits are available" to "Exploits are available") Plugin Feed: 202310311353
版本 1.6 Dec 6, 2022, 2:54 AM Reference Plugin Feed: 202212060254