报告时间线
2024年11月14日 4:36 AM UTC
rono_07 向curl提交报告
摘要:
web.archive.org 网站 Web Archive是一个类似Google搜索的网站,但它保存所有链接。Wayback未经用户许可披露URL, 任何人都可以访问它们(可能包括电子邮件和密码),这些笔记本应是私密的,但通过搜索随机笔记就能看到所有内容
这不应该这样工作,应该是: 只有我希望看到我的笔记的人才能访问它们 而不是任何随机的人都能在web.archive.org/上找到我的笔记
URL:https://web.archive.org/web//https://github.com/curl/curl URL:https://web.archive.org/web//https://curl.se
修复建议:
阻止web.archive.org披露您的网站。
所以我真的希望您能审查并修复这个问题,以保护用户的安全,因为他们可能保存了电子邮件、密码或公司信息,并且只想与公司员工分享。我将等待您的更新:)
影响:
攻击者可以在未经许可的情况下访问笔记
2024年11月14日 7:35 AM UTC
dfandrich (curl工作人员) 发表评论
curl项目是一个开源项目,以开放方式运行,几乎所有内容都是公开可访问的。邮件列表存档也包括在内,使用公共邮件列表的人应该已经意识到这一点。当有人向公共列表发布内容时,它就变成了公开的;之后试图使其非公开是徒劳的。
您能确定curl项目中当前可用的任何私人信息,特别是(鉴于本论坛旨在处理安全报告)与安全相关的信息吗?
还要注意,curl网站的问题明确排除在curl漏洞赏金之外。
2024年11月14日 7:36 AM UTC
bagder (curl工作人员) 关闭报告并将状态更改为"不适用"
认为这不是安全问题。
2025年7月6日 9:19 PM UTC
bagder (curl工作人员) 请求披露此报告
根据项目的透明政策,我们希望所有报告都被披露并公开。
2025年7月7日 10:18 AM UTC
bagder (curl工作人员) 披露此报告
报告详情
| 项目 | 详情 |
|---|---|
| 报告时间 | 2024年11月14日 4:36 AM UTC |
| 报告人 | rono_07 |
| 报告对象 | curl |
| 报告ID | #2841436 |
| 严重程度 | 无 (0.0) |
| 披露时间 | 2025年7月7日 10:18 AM UTC |
| 弱点类型 | 无 |
| CVE ID | 无 |
| 赏金 | 无 |
| 账户详情 | 无 |