漏洞报告：安全审计文件的公开暴露

报告摘要

一份敏感的cURL/libcurl内部安全审计报告文件——cure53-curl-report-2016.pdf——被发现可通过搜索引擎dorking公开访问。该文件包含了2016年Cure53审计参与期间的详细漏洞发现、利用向量、代码审查观察结果和修复建议。

此报告的暴露可能帮助恶意行为者逆向工程较旧的漏洞，或针对运行未打补丁的旧版本libcurl的系统。该报告通过Google dorking检索获得，表明在公共文件索引或访问控制方面存在潜在疏忽。

复现步骤

1. 打开浏览器并访问Google（或任何搜索引擎）
2. 使用以下dorking查询进行搜索：

   1	site:curl.se grep

3. 这将显示与cURL相关的可公开访问的内部审计报告
4. 点击标题为cure53-curl-report-2016.pdf的链接，或直接访问：

   1	https://curl.se/docs/audit/cure53-curl-report-2016.pdf

5. 打开PDF并导航到第10页，查看主机头注入漏洞（ID: T6）的详细描述

影响分析

攻击者获取公开暴露的安全审计文件后可以利用其中的信息：

发现可利用漏洞：

• 报告详细描述了多个漏洞（如主机头注入、TLS验证缺陷、内存处理问题），包括清晰的描述、影响和受影响代码区域
• 即使某些问题已修复，旧系统或分支可能仍然存在漏洞

开发针对性利用：

• 审计包含技术步骤、受影响函数和逻辑缺陷，可用于制作可靠的利用或概念验证（PoCs）

攻击遗留系统：

• 使用旧版本libcurl的组织或嵌入式系统如果未应用补丁，可能仍然可被利用
• 攻击者可以扫描此类过时的部署

破坏软件供应链安全：

• 依赖过时libcurl的项目或产品可能成为间接攻击目标（供应链攻击面增加）

泄露内部安全态势：

• 报告暴露了代码审计方式、常见弱点以及某些部分的安全实现方式，为攻击者提供了开发过程和威胁建模优先级的洞察

项目团队回应

cmeister2 (curl staff) 评论：

• 此报告并非内部文件，在2016年创建时已在博客中公开讨论
• 参见：https://daniel.haxx.se/blog/2016/11/23/curl-security-audit/
• 质疑报告是否由AI生成

cmeister2 (curl staff) 关闭报告并将状态改为"不适用"：

• 公开可用的安全报告不是漏洞

bagder (curl staff) 请求披露此报告：

• 根据项目透明度政策，希望所有报告都被披露和公开

报告元数据

• 报告时间：2025年7月26日 21:18 UTC
• 报告者：cyph3r_nitro
• 报告ID：#3272982
• 严重程度：中等（4 ~ 6.9）
• 披露时间：2025年7月27日 15:23 UTC
• 弱点类型：信息泄露
• CVE ID：无
• 赏金：无

所有审计报告均可在 https://curl.se/docs/audits.html 找到相关链接。