报告 #3241308 - 邮件地址泄露 | HackerOne

漏洞概述

报告ID: #3241308
提交者: haydradz
报告对象: curl
提交时间: 2025年7月8日 18:46 UTC
披露时间: 2025年7月8日 19:53 UTC

漏洞详情

漏洞类型: 信息泄露
严重程度: 无 (0.0)
CVE ID: 无
赏金: 无

问题描述

报告指出在curl项目的.mailmap文件中存在邮件地址泄露问题。具体文件位置：
https://github.com/curl/curl/blob/master/.mailmap

处理时间线

1. 9天前 - haydradz 向curl提交报告
2. 9天前 - jimfuller2024 (curl团队成员) 评论：“不是安全问题”
3. 9天前 - bagder (curl团队成员) 关闭报告并将状态改为"不适用"
4. 9天前 - bagder 请求公开此报告，遵循项目透明政策
5. 9天前 - haydradz 同意公开报告
6. 9天前 - 报告被公开披露
7. 9天前 - dfandrich (curl团队成员) 发表评论：
   • 这些地址99%已包含在git提交日志中
   • 暴露程度不超过git仓库本身
   • 有两个例外情况，其中一个由邮件地址持有者自己创作
8. 9天前 - dfandrich 补充说明：已与最后一位邮件地址持有者沟通，对方对此无异议

技术评估

curl团队认为这不是安全漏洞，因为：

• 邮件地址已存在于公开的git提交历史中
• 暴露程度与git仓库本身的公开性一致
• 涉及的相关方已确认无异议

处理结果

状态: 不适用
解决方案: 无需修复，按项目透明政策公开披露