curl before 7.53.0 has an incorrect TLS Certificate Status Request extension feature that asks for a fresh proof of the server's certificate's validity in the code that checks for a test success or failure. It ends up always thinking there's valid proof, even when there is none or if the server doesn't support the TLS extension in question. This could lead to users not detecting when a server's certificate goes invalid or otherwise be mislead that the server is in a better shape than it is in reality. This flaw also exists in the command line tool (--cert-status).
curl en versiones anteriores a la 7.53.0 tiene una característica de extensión TLS Certificate Status Request que solicita una nueva prueba de la validez del certificado del servidor en el código que comprueba el éxito o el fracaso de una prueba. Acaba siempre pensando que hay pruebas válidas, incluso cuando no hay ninguna o si el servidor no soporta la extensión TLS en cuestión. Esto podría llevar a que los usuarios no detecten cuándo el certificado de un servidor no es válido o que de otra manera se confunda que el servidor está en "mejor forma" de lo que está en realidad. Esta vulnerabilidad también existe en la herramienta de línea de comandos (--cert-status).
A coding error has been found in cURL, causing the TLS Certificate Status Request extension check to always return true. Versions less than 7.53.0 are affected.
