Vulnerabilidad de Severidad Alta en cURL
Resumen
El Equipo de Respuesta a Incidentes de Seguridad Informática de la Universidad Católica "Nuestra Señora de la Asunción" (CSIRT-UC) informa sobre una vulnerabilidad de severidad alta descubierta en la herramienta y biblioteca cURL.
Esta falla podría ser utilizada por un actor malicioso para evadir mecanismos de seguridad o causar una Denegación de Servicio (DoS), afectando la disponibilidad de los sistemas que dependan de cURL para transferencias de datos. Se exige una acción de parcheo inmediata.
Detalles Técnicos de la Vulnerabilidad
La vulnerabilidad identificada se debe a una gestión incorrecta de la memoria, lo que puede provocar el colapso de los procesos que utilizan la biblioteca.
| Atributo | Detalle |
| Identificador CVE | CVE-2025-9086 |
| Puntuación CVSS v3.1 | 7.5 (ALTA) |
| Tipo de Falla | Lectura fuera de límites (Out-of-Bounds Read). |
| Impacto Potencial | Denegación de Servicio (DoS). Un atacante podría provocar la terminación inesperada del proceso de cURL, interrumpiendo servicios y operaciones. |
| Riesgo Adicional | La falla también podría contribuir a la evasión de mecanismos de seguridad en ciertos escenarios de ataque. |
Productos Afectados
Esta vulnerabilidad afecta a un amplio rango de versiones de cURL, una herramienta fundamental utilizada en casi todos los sistemas operativos y aplicaciones para la transferencia de datos.
- cURL: Versiones 7.31.0 hasta la 8.15.0 (inclusive).
Recomendación de Mitigación (Acción Urgente)
El CSIRT-UC insta a todos los administradores de sistemas, desarrolladores y usuarios finales que utilicen cURL a tomar la siguiente acción inmediata:
- Actualizar a la Última Versión: Instale la última versión estable de cURL disponible en el sitio web oficial del proyecto. Esta versión incluye el parche que soluciona la CVE-2025-9086 y otras posibles vulnerabilidades.
- Verificar Dependencias: Identifique todos los servicios y aplicaciones en su infraestructura que utilicen la biblioteca
libcurly asegúrese de que estén vinculados con la versión parcheada. - Prioridad: Esta actualización debe tratarse como prioridad alta para evitar interrupciones de servicio causadas por ataques de Denegación de Servicio.
Referencias Oficiales
- Detalle del CVE-2025-9086 (NVD): https://nvd.nist.gov/vuln/detail/CVE-2025-9086
- Aviso de cURL: https://curl.se/docs/CVE-2025-9086.html
- Sitio Oficial de cURL: Para descarga de la última versión.
Este boletín es emitido por el CSIRT-UC (Universidad Católica "Nuestra Señora de la Asunción") para la concienciación y protección de la infraestructura tecnológica.