报告 #3419617 - 公开仓库中的哈希暴露 | HackerOne

时间线

skymander 向 curl 提交报告 · 16 小时前

一个镜像哈希在 Github 上公开暴露

重现步骤： 参见 » https://github.com/curl/curl/blob/master/Dockerfile

解决方案：

• 如果想保留哈希，仓库应设为私有
• 使用没有特定哈希或环境变量的官方标签

致意， @skymander

影响 攻击者可以利用此哈希：

• 查看已知漏洞
• 查看部署环境

完整 URL

• 暴露内部基础设施
• 私有仓库
• 特定端点

附件 1 个附件 F4991536: POC_curl!.png

bagder (curl 工作人员) 发表评论 · 16 小时前 请解释为什么这是个问题。

skymander 发表评论 · 15 小时前 嘿 @bagder 我参考的报告是： https://hackerone.com/reports/1087489

bagder (curl 工作人员) 关闭报告并将状态改为"不适用" · 15 小时前 这并没有让情况变得更好。这很愚蠢。不是安全问题。根本不是问题。

bagder (curl 工作人员) 请求公开此报告 · 15 小时前 根据项目的透明政策，我们希望所有报告都被公开。

skymander 发表评论 · 15 小时前 我相信这个哈希地址可以用来查看其他应该隐藏的信息。 如果你认为这个仓库和这段代码可以保持现状，我不会进一步深入调查；请忽略此工单。

致意， @skymander

bagder (curl 工作人员) 发表评论 · 15 小时前

我相信这个哈希地址可以用来查看其他应该隐藏的信息。

不，它不能。如果你真的尝试理解哈希的作用和用途，而不是仅仅猜测并用这个报告浪费我们的时间，那将会很有帮助。继续前进。

bagder (curl 工作人员) 公开此报告 · 15 小时前

jimfuller2024 (curl 工作人员) 发表评论 · 15 小时前 为了完整性 - @skymander 你引用的报告是关于"Github 访问令牌暴露"…与镜像哈希（在此上下文中是构建环境中使用的基础容器身份的一部分）完全无关…你的初始报告浪费了我们的时间，你引用一些随机其他链接浪费了我们的时间，在没有演示如何操作的情况下说你"相信哈希地址可以被使用"浪费了我们的时间。请考虑下次在提交这种垃圾之前犹豫一下。

报告详情

报告时间：2025年11月11日 下午3:55 UTC 报告者：skymander 报告对象：curl 参与者： 报告ID：#3419617 严重程度：无 (0.0) 公开时间：2025年11月11日 下午4:15 UTC 弱点：暴露危险方法或函数 CVE ID：无 赏金：无 账户详情：无