curl源代码中通过os.unlink()实现任意文件删除漏洞

漏洞概述

curl源代码的测试脚本中存在使用os.unlink()函数删除文件时未验证输入文件路径的情况。当这些脚本在恶意或篡改的输入下执行时，会引入任意文件删除风险。虽然该漏洞存在于测试脚本中，但如果这些脚本在共享或自动化环境中使用，可能会导致意外后果。

复现步骤

1. 克隆curl仓库：https://github.com/curl/curl.git

2. 进入tests目录

3. 识别受影响的脚本：

   • tests/negtelnetserver.py (第366行)
   • tests/dictserver.py (第183行)
   • tests/smbserver.py (第96、450行)

4. 模拟恶意输入：

   • 识别受影响代码中的特定脚本和输入选项（如options.pidfile）
   • 修改options.pidfile或相关变量指向敏感系统文件（如/etc/passwd）
   • 触发脚本导致指定文件被删除

示例代码修改：

1
2
3
4
5
6

# 原始代码：
os.unlink(options.pidfile)

# 恶意输入模拟：
options.pidfile = "/etc/passwd"   # 替换为关键或敏感文件
os.unlink(options.pidfile)

5. 运行漏洞脚本：执行修改后的脚本

1

python3 negtelnetserver.py

6. 观察结果：脚本执行导致指定文件被删除

相关CWE分类

• CWE-20: 输入验证不当 - 允许用户控制options.pidfile值而不确保其引用允许目录中的有效文件
• CWE-22: 路径名限制不当（路径遍历） - 攻击者提供类似../../../etc/passwd的路径进行删除
• CWE-732: 关键资源权限分配错误 - 允许os.unlink()在敏感文件上执行
• CWE-552: 外部可访问的文件或目录 - 允许外部方将options.pidfile设置为敏感文件路径
• CWE-610: 对外部资源引用的外部控制 - 允许攻击者指定任意文件路径进行删除

影响

传递给os.unlink()的未验证文件路径可能允许攻击者：

• 删除任意文件，可能导致系统不稳定或停机
• 针对关键系统文件进行删除（如日志、配置文件）
• 通过删除属于其他用户的文件影响多用户系统

项目方回应

dfandrich (curl staff) 评论： “我不理解这个漏洞。在这些实例中删除的文件是由脚本自己创建的文件。‘恶意输入模拟’如何模拟攻击者能做的事情？pidfile位置由测试工具提供，这些工具提供已知的有效位置。”

bagder (curl staff) 关闭报告并将状态改为"不适用"： “测试服务器仅用于curl测试，从不用于其他服务。因此这不是安全问题。”

报告最终被披露，项目方基于透明政策决定公开所有报告。

报告详情

• 报告时间: 2024年11月25日 11:43 UTC
• 报告者: aadityaathehacker
• 报告对象: curl
• 严重程度: 高 (7 ~ 8.9)
• 披露时间: 2025年7月7日 10:17 UTC
• 弱点类型: 输入验证不当
• CVE ID: 无
• 赏金: 隐藏