curl命令注入漏洞报告 #3418760

描述

curl 8.17.0.1版本中的$openssl代码存在可利用漏洞。

复现步骤

1. 在Windows系统上提取并安装curl
2. 查看mk-ca-bundle中的代码

受影响范围

• curl版本：8.17.0.1
• 操作系统：Windows 11/10/8
• 分析工具：Deep Seek

漏洞详情

1

$result = "$openssl" dgst -r -sha256 "$_[0]";

问题：$_[0]参数直接插入到shell命令中 风险：攻击者可执行任意命令

漏洞利用示例

1
2

sha256("file.txt; rm -rf /")
sha256("file.txt; cat /etc/passwd")

影响

可能导致机密信息泄露

时间线

• 15小时前：tomar-re向curl提交报告
• 14小时前：dfandrich（curl员工）发表评论
• 11小时前：bagder（curl员工）关闭报告并将状态改为"不适用"
• 11小时前：bagder请求披露此报告
• 2小时前：bagder披露此报告
• 1小时前：jimfuller2024（curl员工）发表评论

团队反馈

dfandrich评论： “虽然可以在脚本中加强安全性，但我认为这在现实中不太可能被利用。首先，这个脚本不太可能被任何人使用任意命令行参数运行；如果是自动化的，更可能使用不受此问题影响的固定值。参数本身来自-d命令行选项，这不应该被设置为攻击者可控的，因为它可以包含任意URL。”

bagder评论： “不被认为是安全问题。根据项目的透明度政策，我们希望所有报告都被披露并公开。”

jimfuller2024评论： “清理输入是良好的开发实践 - 但需要更多关于如何实际利用此漏洞的信息 - 如果你能在环境中运行此脚本，你可能还能做很多其他（更糟糕的）事情。”

报告信息

• 报告ID：#3418760
• 报告时间：2025年11月10日 17:36 UTC
• 报告者：tomar-re
• 状态：已披露
• 严重性：无评级
• 弱点类型：命令注入 - 通用
• CVE ID：无
• 赏金：无