cURL 8.16.0 发布

cURL 8.16.0 现已发布，这是近期推出的功能最丰富的 curl 版本之一，距离发布 8.15.0 版本正好八周。

Security

本次发布同步披露两个低危漏洞：

• CVE-2025-9086 指出了 cookie 路径处理程序中的一个错误，该错误可能导致 curl 出现混淆，并使用同名的非安全 cookie 覆盖安全 cookie —— 前提是所有条件都恰好完美契合。
• CVE-2025-10148 指出了 WebSocket 实现中的一个错误，该错误导致 curl无法为每个新的 outgoing frame 正确更新帧掩码。

Changes

• curl 新增--follow选项
• curl 新增--out-null选项
• curl 新增--parallel-max-host选项，用于限制每个主机的并发连接数
• --retry-delay和--retry-max-time接受十进制秒
• curl 获得--longopt=value支持
• curl -w 现在支持 %time{}
• 现在 libcurl 缓存 negative name resolves
• ip happy eyeballing：keep attempts running
• 将所需的最低 mbedtls 版本提升至 3.2.0
• 添加 curl_multi_get_offt () 用于获取多路相关信息
• 添加 CURLMOPT_NETWORK_CHANGED 来表示网络已更改为 libcurl
• 若环境变量NETRC已设置，则优先使用该变量
• 将最低要求 mingw-w64 升级至 v3.0（from v1.0）
• smtp：允许在邮件地址后面添加 RFC 3461 的后缀
• 使默认 TLS 版本至少为 1.2
• 放弃对 msh3 的支持
• 支持 CURLOPT_READFUNCTION for WebSocket

错误修复

本周期官方的错误修复数量已超过 250 个，已全部记录在变更日志中，并附上了大部分漏洞来源问题或拉取请求的链接。