Một lỗ hổng bảo mật nghiêm trọng, tồn tại trong curl suốt hơn 25 năm, đã được vá. Bản vá này là một phần của đợt phát hành bảo mật kỷ lục, sửa chữa 18 lỗ hổng CVE, con số cao nhất từng được ghi nhận cho một phiên bản curl duy nhất.
Lỗ hổng, được định danh là CVE-2026-8932, lần đầu xuất hiện trong phiên bản curl 7.7 vào ngày 22 tháng 3 năm 2001, biến nó thành vấn đề bảo mật cũ nhất từng được báo cáo trên curl.
Bối cảnh và Tầm quan trọng của Curl
Curl không chỉ là một công cụ dòng lệnh; nó là một hạ tầng nền tảng. Chạy trên hơn 30 tỷ thiết bị, curl đảm nhận việc truyền dữ liệu trên nhiều hệ điều hành, container, quy trình CI/CD, trình quản lý gói, SDK và hệ thống ô tô.
Đại đa số người dùng không tương tác trực tiếp với curl mà dựa vào libcurl, thư viện nhúng trong vô số sản phẩm. Điều này làm cho các lỗ hổng trong libcurl trở nên đặc biệt nguy hiểm và khó theo dõi.
Chuỗi Sự kiện Phát hiện Lỗ hổng
Quá trình phát hiện hàng loạt các lỗ hổng bắt đầu vào ngày 11 tháng 5 năm 2026, khi người sáng lập và nhà phát triển chính của curl, Daniel Stenberg, thông báo rằng mô hình AI Mythos của Anthropic đã xác định được một lỗ hổng CVE trong curl.
Thông báo này đã kích hoạt một luồng báo cáo bảo mật chưa từng có, nhắm vào dự án curl. Khi mọi chuyện lắng xuống, tổng cộng 18 lỗ hổng CVE đã được cấp cho phiên bản curl 8.21.0, một kỷ lục mới cho bất kỳ phiên bản curl nào.
Vai trò của AI trong Phát hiện Lỗ hổng
AISLE, một nền tảng bảo mật dựa trên AI, đã công bố 6 trong số 18 CVE, cùng với các phát hiện hợp lệ khác trên curl và libcurl. Tổ chức sử dụng AI có số lượng phát hiện đứng thứ hai chỉ nhận được 3 CVE, trong khi các nhà nghiên cứu sử dụng mô hình của Anthropic và OpenAI mỗi bên tìm thấy 1 CVE.
Tất cả sáu lỗ hổng đã được báo cáo một cách có trách nhiệm và được vá trong bản phát hành curl 8.21.0 vào ngày 24 tháng 6 năm 2026.
Các Lỗ hổng Khác và Ảnh hưởng
Ngoài các CVE, AISLE còn công bố ba vấn đề về an toàn bộ nhớ bổ sung, bao gồm một lỗi đọc tràn bộ đệm heap (heap out-of-bounds read) trong urlapi và các lỗi sử dụng sau khi giải phóng (use-after-free) / giải phóng kép (double-free) trong việc xử lý HSTS. Tất cả đều được báo cáo qua HackerOne.
Đáng chú ý, nhiều lỗ hổng này chỉ ảnh hưởng đến libcurl, không phải công cụ dòng lệnh curl. Điều này có nghĩa là chúng tồn tại sâu bên trong các sản phẩm nhúng, nơi người dùng cuối không có khả năng hiển thị và không có cách nào trực tiếp để cập nhật bản vá.
Bề mặt tấn công có thể được tiếp cận thông qua hành vi ứng dụng, làm cho những phát hiện này trở nên đặc biệt quan trọng đối với môi trường doanh nghiệp và IoT. Đây là một mối đe dọa mạng tiềm ẩn cần được quan tâm.
Phiên bản Curl 8.21.0 và Các Cải tiến
Bên cạnh các bản sửa lỗi bảo mật, curl 8.21.0 còn giới thiệu một bộ tính năng mới hạn chế, do trọng tâm lớn vào việc khắc phục lỗ hổng trong chu kỳ này.
Các bổ sung chính bao gồm hỗ trợ cho globs có tên trong tải lên tệp và khả năng proxy HTTP/3 nâng cao bằng cách sử dụng CONNECT và MASQUE CONNECT-UDP.
Bản phát hành cũng loại bỏ các tính năng đã lỗi thời như theo dõi phụ thuộc luồng HTTP/2 và hỗ trợ CURLAUTH_DIGEST_IE, phù hợp với các phương thức giao thức hiện đại.
Các nhà phát triển cũng được cảnh báo về việc loại bỏ sắp tới, bao gồm NTLM, SMB, TLS-SRP và các triển khai mật mã cục bộ.
Tổng cộng, bản phát hành bao gồm 276 bản sửa lỗi và hơn 500 commit, được đóng góp bởi hơn 100 nhà phát triển, phản ánh quy mô của các nỗ lực bảo trì và bảo mật liên tục.
Khuyến nghị và Hành động
Các nhóm bảo mật và nhà phát triển được khuyến nghị mạnh mẽ cập nhật lên curl 8.21.0 ngay lập tức, đặc biệt là trong các môi trường phụ thuộc vào cơ chế xác thực, cấu hình proxy hoặc các tính năng HTTP/2 và HTTP/3.
Việc áp dụng các bản vá bảo mật kịp thời là yếu tố then chốt để giảm thiểu rủi ro bị tấn công mạng.
Tham khảo thông báo chi tiết tại daniel.haxx.se.
Thông tin thêm về các cảnh báo bảo mật có thể tìm thấy trên các nguồn tin cậy như CISA.
