CVE-2026-8924: 拖尾点域名超级cookie 漏洞概述 一个PSL启用的curl构建会拒绝一个公共后缀cookie,例如 ,但接受拖尾点变体 。当请求主机也使用拖尾点时,在重放案例中,来自 的响应会设置 ,而curl随后发送 到 。在相同的cookie重定向流中。规范控制案例 与 被拒绝,如预期。这表明在规范主机名和拖尾点FQDN形式之间的公共后缀处理不一致。 影响范围 受影响版本: curl 8.20.0 (Debian Testing) 和 8.21.0-DEV 复现环境: curl 8.20.0 (x86_64-pc-linux-gnu) libcurl/8.20.0 OpenSSL/3.6.2 zlib/1.3.2 brotli/1.0.9 zstd/1.5.7 libidn2/2.3.3 libpsl/0.21.5 libssh2/1.11.1 nghttp2/1.60.0 nghttp3/1.22.1 nghttp2/1.15.0 mitkrb5/1.22.1 OpenLDAP/2.6.13 发布日期: 2026-04-29 安全补丁版本: 8.20.0.1 协议支持: dict file ftp ftps gopher gophers http https imap imaps ipfs ipns ldap ldaps mqtt mttts pop3s pop3s rtsp scp sftp smtp smtps telnet tftp ws wss 特性: alt-svc AsyncDNS brotli GSS-API HSTS HTTP2 HTTP3 HTTP-PROXY IDN IPv6 Kerberos Largefile LDAP SPNEGO SSL threadsafe TLS-SRP UnixSockets zstd 修复方案 修复状态: 已解决 披露日期: 2026年6月24日,8:28am UTC 弱点类型: 使用不正确解析的名称或引用 CVE ID: CVE-2026-8924 报告人: vegapent 参与者: curl 报告ID: #173906 严重程度: 低 (0.1 - 3.9) 总奖励: 无 账户详情: 无 复现步骤 使用附带的PoC脚本: