报告 #2853023 - https://curl.se/.mailmap 信息泄露

摘要

在安全评估过程中，发现电子邮件地址在公开可访问的位置被暴露。这些数据使用标准工具（如curl）即可检索，无需身份验证或特殊权限。这引发了关于敏感用户信息保密性的担忧。

复现步骤

以下电子邮件地址被披露： 访问：https://curl.se/.mailmap

Andy Alt: arch_stanton5995@protonmail.com
Ali Khodkar: 129806877+Alikhodkar@users.noreply.github.com

支持材料/参考

前往：https://curl.se/.mailmap

影响

暴露电子邮件地址可能导致针对受影响个人的网络钓鱼攻击、垃圾邮件或社交工程攻击。如果这些电子邮件与特权账户（例如管理角色或GitHub贡献者）相关联，这种暴露会增加进一步利用的风险，如冒充或未经授权的账户访问。

时间线

2024年11月20日 5:07 UTC
haithamzakaria 向curl提交报告

2024年11月20日 8:12 UTC
dfandrich (curl工作人员) 评论：
这些地址在GitHub仓库 https://github.com/curl/curl/blob/master/.mailmap 中也可用。它们在这些位置与git仓库提交元数据本身一样公开，也就是说完全公开。
注意：curl网站的问题不在漏洞赏金范围内。

2024年11月20日 8:52 UTC
haithamzakaria 评论：
GitHub网站上的地址与我收到的报告中的电子邮件无关。

2024年11月20日 9:10 UTC
bagder (curl工作人员) 关闭报告并将状态更改为"不适用"：
公开信息。此外，网站不在范围内。

2024年11月20日 16:45 UTC
dfandrich (curl工作人员) 评论：
是的，我是指向curl-www仓库中相同位置的这些地址。也是公开的。

10天前
bagder (curl工作人员) 请求披露此报告：
根据项目的透明政策，我们希望所有报告都被披露并公开。

9天前
bagder (curl工作人员) 披露此报告

报告详情

• 报告时间：2024年11月20日 5:07 UTC
• 报告人：haithamzakaria
• 报告对象：curl
• 报告ID：#2853023
• 严重程度：高 (7 ~ 8.9)
• 披露时间：2025年7月7日 10:18 UTC
• 弱点：信息泄露
• CVE ID：无
• 赏金：无