Report #2841436 - information disclosure

时间线

rono_07 向curl提交报告
2024年11月14日 4:36am UTC

web.archive.org - 网站
web.archive.org是一个类似Google搜索的网站，但它保存所有链接。Wayback在没有用户许可的情况下披露URL，

任何人都可以访问它们（可能包括电子邮件和密码），这些笔记应该是私密的，但通过搜索随机笔记就能看到所有内容

它不应该这样工作，应该是：只有我希望看到我的笔记的人才能访问它们，而不是任何随机的人都能在web.archive.org/上找到我的笔记

阻止web.archive.org披露您的网站。

所以我真的希望您能审查并修复这个问题，以保护用户的安全，因为他们可能保存了电子邮件、密码或公司信息，并且只想与公司员工分享。我会等待您的更新 :)

攻击者可以在未经许可的情况下访问笔记

dfandrich curl staff 发表评论
2024年11月14日 7:35am UTC

curl项目是一个开源项目，几乎所有内容都是公开可访问的。邮件列表存档也包括在内，使用公共邮件列表的人应该已经意识到这一点。一旦有人向公共列表发布内容，它就变成了公开的；之后试图使其不公开是徒劳的。

您能确定curl项目中目前可用的任何私人信息，特别是（考虑到此论坛用于安全报告）与安全相关的内容吗？

还要注意，curl网站的问题明确排除在curl漏洞赏金之外。

bagder curl staff 关闭报告并将状态更改为"不适用"
2024年11月14日 7:36am UTC

认为这不是安全问题。

bagder curl staff 请求披露此报告
11天前

根据项目的透明政策，我们希望所有报告都被披露并公开。

bagder curl staff 披露此报告
11天前

报告时间：2024年11月14日 4:36am UTC
报告人：rono_07
报告对象：curl
严重性：无 (0.0)
披露时间：2025年7月7日 10:18am UTC
弱点：无
CVE ID：无
赏金：无
账户详情：无