Se ha detectado una vulnerabilidad de severidad alta, en la biblioteca cURL, ampliamente utilizada para transferir datos utilizando varios protocolos de red.
Productos afectados
- cURL versiónes 7.44.0 a 8.6.0.
Impacto
La vulnerabilidad se identifica como CVE-2024-2398: con una puntuación en CVSSv3 de 8.6, de severidad alta. Es una vulnerabilidad en libcurl relacionada con el manejo de la función de «HTTP/2 server push» y ocurre cuando un servidor envía una cantidad excesiva de encabezados en las tramas PUSH_PROMISE. Este error no se detecta fácilmente, ya que falla silenciosamente.
Recomendación
Actualizar a la versión 8.7.0 de cURL o aplicar el parche correspondiente para mitigar este problema.
Referencias: