A ferramenta de código aberto de transferência de dados e biblioteca curl foi atualizada esta semana com correções para 18 vulnerabilidades, incluindo uma introduzida há 25 anos.
As falhas — quatro de severidade média e 14 de severidade baixa — foram descobertas como parte de um esforço da comunidade depois que a equipe Mythos, da Anthropic, identificou um único bug no curl no início de maio.
Esta atualização corrige o maior número de CVEs (Vulnerabilidades e Exposições Comuns) já resolvidos em uma única versão do curl, incluindo um problema introduzido na versão 7.7, lançada em 22 de março de 2001.
Rastreada como CVE-2026-8932, a falha é descrita como um reuso de conexão mTLS (autenticação mútua via protocolo TLS, ou Transport Layer Security) e pode levar a um contorno de autenticação. O problema afeta aplicações que usam a libcurl e não a ferramenta de linha de comando curl.
O CVE existe porque "a libcurl poderia reusar uma conexão existente mesmo depois que as configurações de certificado de cliente ou de chave privada tivessem sido alteradas", afirma a empresa de gestão de vulnerabilidades Aisle em seu blog.
A Aisle utilizou sua plataforma de IA (Inteligência Artificial) para identificar múltiplas fragilidades no curl e na libcurl, seis das quais receberam um CVE neste ano, incluindo o CVE-2026-8932.
As demais falhas identificadas incluem confusão de credenciais (CVE-2026-8926), dupla liberação de memória (CVE-2026-8925), uso após liberação (CVE-2026-9080 e CVE-2026-10536) e validação inadequada de host (CVE-2026-9547).
Como sugere a empresa, não é surpresa que a Mythos tenha encontrado um único bug no curl e que poucas questões de segurança estejam vindo à tona na popular ferramenta e biblioteca.
"O curl é de particular interesse para os pesquisadores de segurança: os bugs fáceis já desapareceram há muito tempo, e o que resta é difícil de encontrar — caminhos de protocolos antigos, reuso de estado, comportamento de callbacks (retornos de chamada), seleção de credenciais e caminhos de código facilmente esquecidos", afirma a Aisle.
Mais de 30 bilhões de dispositivos usam o curl hoje para transferência de dados, incluindo servidores, celulares e carros, e vulnerabilidades na ferramenta podem se tornar altamente valiosas para atacantes. No entanto, não houve relatos públicos de exploração bem-sucedida em ambiente real de qualquer falha de segurança no curl.
