cURL 8.18.0 現已發佈。

Security

• CVE-2025-13034：使用 GnuTLS 時跳過 HTTP/3 的 pinning 檢查
• CVE-2025-14017：threaded LDAPS 的 TLS 選項存在缺陷
• CVE-2025-14524：跨協議重定向中的 bearer token 泄露
• CVE-2025-14819：OpenSSL 部分鏈存儲策略繞過
• CVE-2025-15079：libssh 全局 knownhost override
• CVE-2025-15224：無需代理集即可繞過 libssh key passphrase

Changes

本次更新內容較少，主要圍繞取消對若干依賴項的支持：

• 停止支持 VS2008（Windows 版）
• 停止支持 Windows CE / CeGCC
• 停止支持 GnuTLS 3.6.5 以下版本
• gnutls：實現 CURLOPT_CAINFO_BLOB
• openssl：將最低 OpenSSL 版本提升至 3.0.0

錯誤修復

可觀看發佈演示視頻，瞭解此版本中一些最重要/最有趣的修復，或者查看變更日誌中的完整列表。