Curl будет ошибочно повторно использовать существующее HTTP-прокси-соединение, выполняя ПОДКЛЮЧЕНИЕ к сервер, даже если новый запрос использует другие учетные данные для HTTP-прокси. Правильное поведение — создать или использовать отдельное соединение.
Показать оригинальное описание (EN)
curl would wrongly reuse an existing HTTP proxy connection doing CONNECT to a server, even if the new request uses different credentials for the HTTP proxy. The proper behavior is to create or use a separate connection.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Ссылки 4
https://curl.se/docs/CVE-2026-3784.html
2499f714-1537-4658-8207-48ae4bb9eae9
https://curl.se/docs/CVE-2026-3784.json
2499f714-1537-4658-8207-48ae4bb9eae9
https://hackerone.com/reports/3584903
2499f714-1537-4658-8207-48ae4bb9eae9
http://www.openwall.com/lists/oss-security/2026/03/11/3
af854a3a-2127-422b-91ae-364da2661108