O curl 8.21.0 corrigiu 18 vulnerabilidades de segurança — um recorde absoluto para o projeto — incluindo uma falha de 25 anos (CVE-2026-8932) que permitia bypass de autenticação em mais de 30 bilhões de dispositivos. A correção foi motivada por descobertas feitas por modelos de IA como o Mythos da Anthropic e a plataforma AISLE. A atualização é recomendada para todos os ambientes que usam libcurl.
Falha de 25 anos no curl
A vulnerabilidade mais antiga, introduzida em março de 2001, existia na versão 7.7 do curl e foi corrigida apenas agora, junto com outras 17 falhas na versão 8.21.0. A descoberta começou com a IA da Anthropic e se transformou na maior correção já feita em uma única versão do projeto.
A falha mais antiga, rastreada como CVE-2026-8932, permite que uma conexão seja reutilizada mesmo após a troca do certificado de cliente mTLS, resultando em bypass de autenticação. Ela existe desde a versão 7.7 do curl, lançada há mais de 25 anos.
O que é o curl
O curl não é apenas um comando de terminal. A biblioteca libcurl está embutida em praticamente tudo que se conecta à internet: servidores web, smartphones, carros conectados, TVs inteligentes, containers Docker, pipelines CI/CD, SDKs de nuvem e sistemas embarcados. Mais de 110 sistemas operacionais e 28 arquiteturas de CPU dependem dessa biblioteca, segundo Daniel Stenberg, criador e mantenedor do curl.
No Brasil, isso significa que praticamente qualquer servidor Linux, aplicação em container ou serviço em nuvem de uma empresa brasileira usa libcurl por baixo dos panos. A maioria dos desenvolvedores e administradores nunca interage diretamente com o curl — mas o software está lá, transferindo dados silenciosamente.
IA começou a caçada em maio
Tudo começou em 11 de maio de 2026, quando Daniel Stenberg anunciou que o modelo Mythos, da Anthropic, havia identificado uma vulnerabilidade no curl. Essa descoberta única desencadeou uma avalanche de relatórios de segurança, tanto de ferramentas de IA quanto de pesquisadores humanos.
A plataforma de segurança AISLE reivindicou 6 dos 18 CVEs corrigidos nesta versão, incluindo o CVE-2026-8932. Segundo a empresa, o curl é um alvo particularmente difícil para análise de segurança: os bugs fáceis foram eliminados há anos e o que resta são caminhos de código antigos, reutilização de estado e comportamentos de callback que desafiam até ferramentas avançadas.
Quando a poeira baixou, o resultado foi 18 vulnerabilidades corrigidas em uma única versão — um recorde absoluto para o projeto. A versão anterior com mais correções de segurança havia sido 11, após uma auditoria da Cure53 em 2016.
As 18 falhas corrigidas
Quatro vulnerabilidades receberam classificação de severidade média e catorze foram classificadas como baixas. Individualmente, nenhuma é crítica. O problema é o tamanho da superfície de ataque: com 30 bilhões de dispositivos, até uma falha de baixa gravidade pode ser explorada em escala.
| CVE | Severidade | Área afetada |
|---|---|---|
| CVE-2026-8925 | Média | Double-free no SASL |
| CVE-2026-8927 | Média | Vazamento de estado Digest auth entre proxies |
| CVE-2026-9079 | Média | Vazamento de senha de proxy obsoleta |
| CVE-2026-11856 | Média | Vazamento de estado Digest entre origens |
| CVE-2026-8932 | Baixa | Bypass de autenticação mTLS (25 anos) |
| CVE-2026-8926 | Baixa | Vazamento de senha via netrc |
| CVE-2026-9080 | Baixa | Use-after-free em socket callback |
| CVE-2026-9547 | Baixa | Validação imprópria de host SSH |
| CVE-2026-10536 | Baixa | Use-after-free em HTTP/2 |
A lista completa com detalhes técnicos de cada vulnerabilidade está disponível na página de segurança oficial do curl.
Risco real para empresas brasileiras
Não há relatos públicos de exploração ativa de nenhuma das 18 falhas. Mas o histórico recente mostra que falhas antigas e não corrigidas são exatamente o que malwares como o SharkLoader exploram para invadir redes.
O cenário de risco para o Brasil inclui:
- Servidores web e APIs que usam libcurl para comunicação backend — a falha CVE-2026-8932 pode permitir que conexões autenticadas sejam reutilizadas sem o certificado correto
- Containers e pipelines CI/CD que fazem requisições HTTP/2 — vulneráveis ao CVE-2026-10536 (use-after-free)
- Sistemas IoT e embarcados em fábricas e logística — que costumam rodar versões antigas de curl sem processo de atualização
- Aplicações que usam STARTTLS — afetadas pelo CVE-2026-8286 (reutilização incorreta de conexão)
A platafora AISLE observou que várias vulnerabilidades afetam exclusivamente a libcurl e não o comando curl em si. Isso significa que residem dentro de produtos embarcados onde o usuário final não tem visibilidade e nem capacidade direta de aplicar patches — um problema clássico de cadeia de suprimentos de software, conforme já abordamos aqui ao falar sobre o Cordyceps em repositórios.
O que fazer agora
A recomendação dos mantenedores é clara: atualizar para curl 8.21.0 imediatamente. Não é um cenário de “drogue tudo e corra” — sem CVEs críticos ou de alta severidade — mas o volume de correções e a antiguidade da falha principal tornam essa atualização uma prioridade de manutenção.
Para equipes de segurança no Brasil:
- Identifique todas as instâncias de curl/libcurl em sua infraestrutura — servidores, containers, imagens base, dispositivos IoT
- Priorize sistemas expostos à internet que usam autenticação mTLS, HTTP/2 ou SSH via libcurl
- Reconstrua imagens de container com curl atualizado nas imagens base
- Monitore advisories de distribuições Linux — Ubuntu, Debian e CentOS devem lançar pacotes atualizados nos próximos dias
- Revise dispositivos embarcados e IoT que não recebem atualizações automáticas — coordene com fornecedores
A próxima versão do curl está prevista para 2 de setembro de 2026, segundo Stenberg, com um ciclo estendido devido ao “verão da felicidade” do projeto.
IA como descobridora de vulnerabilidades
O episódio do curl 8.21.0 marca um ponto de inflexão. Um único modelo de IA — o Mythos da Anthropic — encontrou uma falha que desencadeou a maior correção da história do curl. A mesma dinâmica já apareceu em outras descobertas recentes, como falhas em protocolos HTTP/2.
Para a indústria, a mensagem é dupla: a IA está se tornando uma aliada poderosa na busca de vulnerabilidades em código aberto fundamental, mas também revela que décadas de código revisado por humanos ainda escondem falhas significativas. O curl é um dos projetos mais auditados do mundo, com mais de 100 contribuidores e quase 40 mil commits — e mesmo assim abrigava um bug de 25 anos.
Números do release curl 8.21.0
- 275ª versão do projeto
- 276 correções de bugs
- 531 commits de 102 contribuidores (69 novos)
- 18 correções de segurança (total histórico: 206)
- Recorde de CVEs em uma única versão
- Flaw mais antiga já corrigida no curl: 25 anos