Curl 7.76.0 < 8.12.0 默认凭据泄漏 (CVE-2025-0167)

low Nessus 插件 ID 215221

简介

远程主机上有一个程序受到默认凭据泄露漏洞影响。

描述

当要求使用 `.netrc` 文件作为凭据 ** 和 ** 跟踪 HTTP 重定向时,curl 可能在某些情况下会将用于第一个主机的密码泄漏给后续主机。此缺陷仅在 netrc 文件具有会忽略登录名和密码的“default”条目时自行出现。罕见情况。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

升级 Curl 至 8.12.0 或更高版本

另见

https://curl.se/docs/CVE-2025-0167.html

插件详情

严重性: Low

ID: 215221

文件名: curl_CVE-2025-0167.nasl

版本: 1.4

类型: local

代理: windows, macosx, unix

系列: Misc.

发布时间: 2025/2/10

最近更新时间: 2025/6/23

配置: 启用全面检查 (optional)

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 2.4

CVSS v2

风险因素: Low

基本分数: 2.6

时间分数: 1.9

矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:N/A:N

CVSS 分数来源: CVE-2025-0167

CVSS v3

风险因素: Low

基本分数: 3.4

时间分数: 3

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:R/S:C/C:L/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:haxx:curl

必需的 KB 项: installed_sw/Curl

易利用性: No known exploits are available

补丁发布日期: 2025/2/5

漏洞发布日期: 2025/2/5

参考资料信息

CVE: CVE-2025-0167

IAVA: 2025-A-0085-S