curl.dev Git仓库暴露漏洞报告

Git仓库发现报告

提交者: ID验证黑客tefa_
报告时间: 2024年12月27日 15:10 UTC
报告对象: curl

漏洞摘要

在研究过程中发现curl.dev域存在可下载Git仓库的漏洞。

复现步骤

  1. 在浏览器安装DotGit扩展
  2. 访问https://curl.dev/
  3. 扩展将显示警报并可下载该仓库

影响

暴露的/.git目录可能导致未授权访问敏感信息,包括源代码、配置文件以及仓库中可能存储的密钥或凭证。

讨论过程

  • tefa_: 演示漏洞的访问URL:https://curl.se/libcurl/bagder
  • curl staff: 关闭报告并标记为"不适用",认为这些不是机密信息且该网站不在漏洞赏金范围内
  • tefa_: 强调该域名在主网站出现且包含"curl"名称,建议两种修复方案:
    1. 从URL中移除该域名
    2. 禁止Git仓库下载
  • curl staff: 回应称相关代码已在GitHub公开(https://github.com/curl/curl.dev)

报告状态

  • 严重程度: 高危(7~8.9)
  • 披露时间: 2025年7月7日
  • 漏洞类型: 信息泄露
  • CVE ID: 无
  • 赏金状态: 隐藏

更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码

posted @ 2025-07-31 17:17  qife  阅读(2)  评论(0)    收藏  举报