Git仓库发现报告 #2915426 - HackerOne

跳过主要内容 > Hacktivity机会目录排行榜了解更多关于HackerOne登录

9#2915426复制报告ID复制报告ID发现Git仓库分享：时间线

ID验证通过的黑客tefa_向curl提交报告。 2024年12月27日，下午3:10 UTC

菜单菜单 摘要： 你好团队， 在研究过程中，我发现该域名存在可下载Git仓库的漏洞，我将详细说明。

重现步骤：

1. 在浏览器中添加DotGit扩展
2. 尝试访问该域名：https://curl.dev/
3. 扩展将发出警报，并可下载该存储桶

影响 摘要： 暴露/.git目录可能导致未授权访问敏感信息，如源代码、配置文件以及可能存储在仓库中的秘密或凭据。

ID验证通过的黑客tefa_发表评论。 2024年12月27日，下午3:11 UTC

菜单菜单 为展示该域名，请访问该URL：https://curl.se/libcurl/

bagder curl工作人员关闭报告并将状态更改为“不适用”。 2024年12月27日，下午3:28 UTC

菜单菜单 这些不是秘密。该网站不在赏金范围内。

ID验证通过的黑客tefa_发表评论。 2024年12月27日，下午3:30 UTC

菜单菜单 你说得对，但我在主网站上发现了该域名，应该移除。

jimfuller2024 curl工作人员发表评论。 2024年12月27日，下午3:54 UTC

菜单菜单 尽管被告知这明确不是秘密，我们是否遗漏了什么？你为什么认为这应该被移除？

ID验证通过的黑客tefa_发表评论。 2024年12月27日，下午3:57 UTC

菜单菜单 因为我在主网站上发现了该域名，并且包含域名（curl），当任何人访问该域名时，都可以下载Git仓库。你有两个修复方法：

1. 从URL中移除该域名。
2. 不允许下载Git仓库。

jimfuller2024 curl工作人员发表评论。 2024年12月27日，下午4:06 UTC

菜单菜单 不太明白… https://github.com/curl/curl.dev 是公开可用的 我想如果我们篡改了.git/config中的其他内容，那可能是个问题…但没看到问题。

bagder curl工作人员请求披露此报告。 2025年7月6日，下午9:17 UTC

菜单菜单 根据项目的透明政策，我们希望所有报告都被披露并公开。

bagder curl工作人员披露此报告。 2025年7月7日，上午10:16 UTC

报告于 2024年12月27日，下午3:10 UTC 报告者 tefa_ 报告给 curl 参与者 报告ID #2915426 不适用严重性 高（7 ~ 8.9） 披露于 2025年7月7日，上午10:16 UTC 弱点 信息泄露 CVE ID 无 赏金 隐藏 账户详情 无

看起来您的JavaScript被禁用了。要使用HackerOne，请在浏览器中启用JavaScript并刷新此页面。