公开仓库中的哈希值暴露 | HackerOne报告 #3419617

报告详情

报告ID: #3419617
报告标题: Hash exposed in public repository
报告平台: HackerOne

时间线

skymander 向curl提交报告 3天前

一个镜像哈希在GitHub上公开暴露

重现步骤: 参见 » https://github.com/curl/curl/blob/master/Dockerfile

解决方案:

• 如果想保留哈希，仓库应该设为私有
• 使用没有特定哈希或环境变量的官方标签

影响 攻击者可以使用此哈希来：

• 查看已知漏洞
• 查看部署环境
• 暴露内部基础设施
• 访问私有仓库
• 访问特定端点

bagder (curl工作人员) 发表评论 3天前 请解释为什么这是个问题。

skymander 发表评论 3天前 嘿 @bagder 我参考的报告是：https://hackerone.com/reports/1087489

bagder (curl工作人员) 关闭报告并将状态改为"不适用" 3天前 这并没有让情况变得更好。这很愚蠢。不是安全问题。根本不是问题。

bagder (curl工作人员) 请求披露此报告 3天前 根据项目的透明度政策，我们希望所有报告都被披露并公开。

skymander 发表评论 3天前 我相信这个哈希地址可以用来查看其他应该隐藏的信息。 如果你认为这个仓库和这个编码可以保持现状，我不会进一步深入调查；请忽略此工单。

bagder (curl工作人员) 发表评论 3天前

我相信这个哈希地址可以用来查看其他应该隐藏的信息。

不，它不能。如果你真的尝试理解哈希的作用和用途，而不是只是猜测并用这个报告浪费我们的时间，那将会很有帮助。继续前进。

bagder (curl工作人员) 披露此报告 3天前

jimfuller2024 (curl工作人员) 发表评论 3天前 为了完整性 - @skymander 你引用的报告是关于"GitHub访问令牌暴露"…与镜像哈希（在此上下文中是构建环境中使用的基础容器身份的一部分）完全没有关系…你的初始报告浪费了我们的时间，你引用一些随机其他链接浪费了我们的时间，在没有演示如何操作的情况下说你"相信哈希地址可以被使用"浪费了我们的时间。请考虑下次在提交这种垃圾之前犹豫一下。

报告元数据

报告时间: November 11, 2025, 3:55pm UTC
报告者: skymander
报告对象: curl
严重程度: 无 (0.0)
披露时间: November 11, 2025, 4:15pm UTC
弱点: 暴露危险方法或函数
CVE ID: 无
赏金: 无