Malgré un score CVSS de 7,5, les chercheurs en sécurité de JFrog ont confirmé que l’ensemble des conditions préalables nécessaires pour qu’une machine soit vulnérable au CVE Curl et Libcurl est bien plus étendu qu’on ne le pensait, ce qui la rend très difficile à exploiter dans la nature. Cela devrait soulager la plupart des utilisateurs de Curl, tout en soulignant l’importance du contexte lors de l’évaluation des mesures correctives nécessaires pour tout CVE.

Yair Mizrahi, Security Research Team Lead chez JFrog Security explique : « Nos chercheurs ont découvert que l’ensemble des conditions préalables nécessaires à l’exploitation de cette vulnérabilité est plus restrictif qu’on ne le pensait initialement, ainsi que son impact », a déclaré Yair Mizrahi, Security Research Team Lead de JFrog Security. « Une vulnérabilité classée critique n’est pas toujours critique pour vous - le contexte d’une CVE est crucial, et nous pensons que la grande majorité des utilisateurs de curl ne sera pas affectée par cette vulnérabilité, malgré son classement élevé de gravité. Nous recommandons aux utilisateurs de mettre à jour vers la nouvelle version Curl 8.9.0 pour résoudre la vulnérabilité et de rester vigilants sur toutes les versions qui pourraient être à risque (8.6.0 jusqu’à et y compris 8.8.0). »