IT之家 10 月 14 日消息，命令行工具 curl 近日曝出兩個漏洞，追蹤編號分別為 CVE-2023-38545 和 CVE-2023-38546，其中前者漏洞等級為“關鍵”，其破壞力不亞于 Log4j。

• CVE-2023-38545，一個影響 libcurl 庫和 curl 工具的高嚴重性漏洞；

• CVE-2023-38546，一個低嚴重性漏洞，僅影響 libcurl。

舊版 libcurl 庫和 curl 工具存在該漏洞，官方于 2023 年 10 月 11 日發布 8.4.0 版本更新，已經修復了上述兩個漏洞。

微軟 Win10、Win11 系統默認附帶 curl，而 10 月 11 日是微軟的補丁星期二活動日，因此此前推測本月累積更新會包含 8.4.0 新版本，不過用戶在升級之后，發現依然停留在過時的 curl 版本中。

IT之家注：Curl 是從 1998 年開始開發的開源網絡請求命令行工具，其具有豐富的 Api 和 Abi（應用程序二進制接口），被廣泛應用于汽車、電視機、路由器、打印機、音頻設備、手機、平板電腦、醫療設備、機頂盒、電腦游戲、媒體播放器等各種設備中。

并且是數千種軟件應用程序的互聯網傳輸引擎，安裝量超過 200 億，幾乎每位互聯網用戶日常都會用到 curl。作為組件廣泛用于應用的 HTTP 請求，libcurl 也是一個非常流行和廣泛使用的網絡庫，被廣泛用于編寫網絡應用程序和客戶端。