
curl 8.21.0 修 18 個漏洞:真正要查係 libcurl 同 mTLS
命令列工具唔受呢個 mTLS 洞影響,但 app 內置 libcurl 就要盤點
今次唔係單純「又有更新」
curl 官方喺 6 月 24 日發佈 8.21.0,配合同日公開 18 個新 CVE。iThome 報道拎出最有新聞感嗰個:CVE-2026-8932,早喺 2001 年 7.7 版引入,去到 8.20.0 都仲受影響。先講清楚一點:官方漏洞表顯示 8.21.0 本身冇已公開安全問題,呢版係用嚟處理之前版本嘅風險。
mTLS 呢個洞點出事
mTLS 通常用喺 service-to-service、內部 API、金融或會員系統呢類場景,server 唔淨係睇 HTTPS 憑證,client 都要交證書證明身份。官方 advisory 講,libcurl 會重用連線,但檢查重用條件時漏咗部分同 client cert / private key 有關嘅設定。結果係 app 改咗 mTLS 設定,libcurl 仲可能拎舊連線嚟用,身份隔離就有機會鬆咗。
點解 curl 指令唔中招
好多 admin 第一反應會係:機上面有 curl command,就係咪即刻爆?呢個 mTLS CVE 官方講到好清楚,curl 命令列工具唔受影響,因為問題出喺 libcurl app 重用同一個 handle、又喺多次 transfer 之間改 client cert 或 private key 設定。一次性用 curl 拉 API、下載檔案,唔等於踩中呢條路。
受影響嘅人
真正要緊係用 libcurl 做底層 HTTP client 嘅 app,尤其係長駐服務、worker、gateway、SDK、agent、IoT 或桌面軟件。好多產品唔會喺 UI 寫明自己用 libcurl,容器 image、OS package、語言 binding、vendor appliance 都要查。若果 SaaS、網店、內部 API 或付款/會員系統用 mTLS 做 client auth,唔好淨係睇 server 有冇開 HTTPS;下一題係邊啲程式喺背後重用 libcurl 連線。
嚴重程度點睇
有個位要分清:curl project 對 18 個問題評做 4 個中、14 個低;iThome 報道話,佢查 NVD 同 Tenable 時見到部分 CVSS 分數去到 9 分以上,包括 cookie、proxy 憑證同 HTTP/2 UAF 類問題。分數唔同唔出奇,CVSS 會按最壞環境打分,項目維護者就會按 curl/libcurl 嘅用法前置條件去判斷。IT 團隊唔使因為「Low」就當冇事,亦唔使未見 exploitation 就恐慌。
應該點做
最實用做法係先升級到 curl/libcurl 8.21.0;未升到就套官方 patch 同重 build。開發隊要 grep Dockerfile、base image、SBOM、package-lock / go.mod / Cargo.lock、native extension 同 OS package,唔好只係喺 server 上打 curl --version 就交差。用 mTLS 嘅 app,仲要檢查有冇同一個 handle 喺唔同 client cert 之間輪流用;短期 workaround 係變更 client cert 設定時唔重用 handle。下一步主要睇各 Linux distro、容器 base image 同 vendor appliance 幾快出包;自己編譯 libcurl 或靜態 link 嘅產品,就唔好等 OS update 救你。
參考來源
- iThome — curl發布8.21.0版,修補18項漏洞,包括潛藏25年的安全缺陷 — original report
- curl-library mailing list: SECURITY ADVISORIES for curl 8.21.0 — 官方公告,列出 18 個 CVE 同 curl project 嚴重程度。
- curl advisory: CVE-2026-8932 incomplete mTLS config matching in conn reuse — 官方 mTLS advisory,確認影響 libcurl、版本範圍、唔影響命令列工具同修補建議。
- curl: Vulnerabilities in curl 8.20.0 — 官方表,核對 8.20.0 有 18 個已公開安全問題,8.21.0 起修好。
- curl: Vulnerabilities in curl 8.21.0 — 官方表,確認 8.21.0 本身冇已公開安全問題。
- Daniel Stenberg: curl 8.21.0 — 項目維護者背景,交代今次係單一 release 公開 18 個漏洞。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







