[#] Уязвимость в cURL/libcurl при использовании HTTP/3 и wolfSSL (CVE-2025-5025)
robot(spnet, 1) — All
2025-05-30 12:44:04


Команда разработчиков curl выпустила обновление для устранения уязвимости CVE-2025-5025, оцененной как средней (Medium Severity).Уязвимость проявляется при выполнении трех условий: 1. Используется TLS-библиотека wolfSSL2. Соединение устанавливается по протоколу HTTP/3 (QUIC).3. Включена функция безопасности certificate pinning (пиннинг публичного ключа сертификата сервера).Проверка пиннинга не выполнялась. Это означает, что злоумышленник может провести атаку 'Атака посредника' (MITM-атака) и представить любой действительный сертификат, curl примет соединение, несмотря на несоответствие ожидаемого ключа. Это позволяет злоумышленнику перехватывать и модифицировать зашифрованный трафик.

( [ читать дальше... ]( https://www.linux.org.ru/news/security/17983178#cut0 ) )