Daniel Stenberg, autor de curl, advirtió a los usuarios, mediante una publicación de blog, sobre un informe por parte de la organización MITRE, de una vulnerabilidad crítica falsa.

El informe detalla sobre una vulnerabilidad a la cual se le asigno el CVE -ID «CVE-2020-19909 «y un nivel de gravedad de 9,8 sobre 10, que es típico de vulnerabilidades explotadas de forma remota que conducen a la ejecución de código con privilegios elevados.

En el informe de vulnerabilidad se hace referencia a un error en el código de análisis de la opción de línea de comandos «–retry-delay», que se solucionó en 2019 y provocó un desbordamiento de enteros. Dado que el error sólo se manifiesta cuando se pasa explícitamente un valor incorrecto al ejecutar la utilidad desde la línea de comando y conduce a una interpretación incorrecta del retraso antes de reenviar los datos, el error no se ha clasificado como una vulnerabilidad por los desarrolladores.

Daniel Stenberg, menciona que el problema surge tres años después, cuando alguien envió un informe de vulnerabilidad a MITRE y asignó al problema un nivel de gravedad crítico.

Por lo cual en su publicación, realiza una crítica a MITRE, ya que dice que como es posible que esta organización «podría aceptar el nivel de gravedad indicado», ya que incluso si fuera una vulnerabilidad explotable, los problemas de denegación de servicio generalmente se ubican en otra categoría.

En el proyecto curl trabajamos duro y ferozmente en seguridad y siempre trabajamos con investigadores de seguridad que informan problemas. Presentamos nuestros propios CVE, los documentamos y nos aseguramos de contarle al mundo sobre ellos. Enumeramos más de 140 de ellos con todos los detalles imaginables sobre ellos proporcionados. Nuestro objetivo es proporcionar documentación de nivel oro para todo y eso incluye nuestras vulnerabilidades de seguridad pasadas.

Que alguien más haya enviado de repente un CVE para curl es una sorpresa. Esto no nos lo han dicho y realmente nos hubiera gustado. Ahora hay un nuevo CVE que informa un problema de rizo y no tenemos detalles que decir al respecto en el sitio web. No es bueno.