严重

libcurl 信息泄露漏洞

漏洞描述

libcurl 7.1 through 7.57.0 可能会意外地向第三方泄漏身份验证数据。当请求在其HTTP请求中发送自定义标头时,libcurl将首先在初始URL中将这组标头发送到主机,但如果被要求遵循重定向并返回30 X HTTP响应代码,则发送到“Location:`ResponseHeader值”中URL中提到的主机。对于传递自定义的“授权:”标头的应用程序来说,向后续主机发送相同的标头特别是一个问题,因为这个标头通常包含对隐私敏感的信息或数据,这些信息或数据允许其他人使用客户端的请求模拟libcurl。

基本信息

  • CVE编号: CVE-2018-1000007
  • 漏洞类型: 信息泄露
  • 危险等级: 严重
  • 披露时间: 2018-01-25

修复建议

 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://curl.haxx.se/docs/adv_2018-b3bf.html                             

参考链接

CVSS3.0 评分
9.8