libcurl FTP路径规范化漏洞分析

漏洞概述

libcurl在处理FTP URL路径时存在路径规范化缺陷，允许解码的%2e%2e序列转换为..并实现目录逃逸（路径遍历，CWE-22）。

技术细节

漏洞原理

lib/ftp.c中的ftp_parse_url_path函数在URL解码FTP路径段（如%2e%2e）后，使用特定循环将解码后的路径分割为组件，该循环会跳过由//产生的空组件。代码未执行规范的路径规范化（无基于堆栈的.或..处理）。因此，编码的遍历序列如%2e%2e解码为..并可能成为正常路径组件，导致libcurl向远程FTP服务器发出CWD ..命令。

受影响版本

curl 8.4.0 (x86_64-pc-linux-gnu) libcurl/8.4.0 测试环境：基于Debian的VM，pyftpdlib测试FTP服务器（pyftpdlib 2.1.0）

复现步骤

1. 准备本地测试目录和文件：

1
2
3
4

mkdir -p ~/curl-test/dir ~/curl-test/testdir
echo "INSIDE" > ~/curl-test/dir/inside.txt
echo "OUTSIDE" > ~/curl-test/testdir/outside.txt
cd ~/curl-test

2. 启动简易本地FTP服务器：

1
2

python3 -m pip install pyftpdlib
python3 -m pyftpdlib -w

3. 运行带跟踪的curl命令：

1

curl --trace-ascii curl_trace.txt -v "ftp://127.0.0.1:2121/dir//%2e%2e/testdir" 2>&1 | tee curl_stdout.txt

4. 检查跟踪文件中的CWD命令：

1
2
3
4

CWD dir
< 250 "/dir" is the current directory.
CWD ..
< 250 "/" is the current directory.

影响分析

安全影响

• 路径遍历（CWE-22） - 输入验证不当（CWE-20）
• 远程文件泄露：攻击者可构造URL导致libcurl遍历到父目录并尝试RETR目标目录外的文件
• 客户端过滤绕过：执行简单清理（如搜索字面..）的应用程序可能被编码等效项（%2e%2e）绕过
• 供应链和自动化滥用：自动处理FTP URL的软件可能被诱骗获取或覆盖允许区域外的文件

严重程度

建议严重性：高 CVSS示例向量：AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N → CVSS ~7.x

修复建议

1. 在URL解码后、分割路径组件前执行规范路径规范化（基于堆栈的./..处理，合并//）
2. 拒绝尝试遍历允许根目录之上的路径（返回错误而非发送CWD）
3. 为编码遍历案例和混合排列添加单元测试

项目方回应

curl团队确认该问题在curl 8.13.0及更高版本中已修复，认为这不是安全问题，因为：

• 控制URL的攻击者可能造成更大危害
• FTP客户端完全可以按需更改目录到".."
• 适当的目录保护必须在服务器端实现，不能依赖客户端保护

报告状态：不适用（Not Applicable） 披露状态：已公开