报告 #3419617 - 公开仓库中的哈希暴露 | HackerOne

事件时间线

skymander 向 curl 提交报告 17 小时前

一个镜像哈希在 GitHub 上公开暴露

重现步骤：参见 >> https://github.com/curl/curl/blob/master/Dockerfile

解决方案：

• 如果想保留哈希，仓库应设为私有

• 使用没有特定哈希或环境变量的官方标签

影响攻击者可能利用此哈希：

• 查看已知漏洞

• 查看部署环境

• 暴露内部基础设施

• 访问私有仓库

• 访问特定端点

附件 1 个附件：F4991536: POC_curl!.png

bagder (curl 工作人员) 17 小时前请解释为什么这是个问题

skymander 17 小时前我的参考报告是：https://hackerone.com/reports/1087489

bagder (curl 工作人员) 17 小时前

关闭报告并将状态改为"不适用"这并没有让情况变得更好。这很愚蠢。不是安全问题，根本不是问题。

bagder (curl 工作人员) 17 小时前根据项目透明政策，我们希望所有报告都被公开披露。

skymander 17 小时前我相信这个哈希地址可以用来查看其他应该隐藏的信息。如果您认为这个仓库和这段代码可以保持现状，我将不再深入调查；请忽略此工单。

bagder (curl 工作人员) 17 小时前不，它不能。如果你真的尝试理解哈希的作用和用途，而不是仅仅猜测并用这种报告浪费我们的时间，那会很有帮助。继续前进。

bagder (curl 工作人员) 17 小时前披露此报告

jimfuller2024 (curl 工作人员) 16 小时前为了完整性 - @skymander 你引用的报告是关于"GitHub 访问令牌暴露"...与镜像哈希完全无关（在此上下文中是构建环境中使用的基础容器标识的一部分）...你的初始报告浪费了我们的时间，你引用其他随机链接浪费了我们的时间，在没有演示如何实现的情况下说"相信哈希地址可以被使用"浪费了我们的时间。请下次在提交这种垃圾之前三思。

报告详情

报告时间：2025 年 11 月 11 日 下午 3:55 UTC

报告者：skymander

报告对象：curl

报告 ID：#3419617

严重程度：无 (0.0)

披露时间：2025 年 11 月 11 日 下午 4:15 UTC

弱点：暴露危险方法或函数

CVE ID：无

赏金：无

账户详情：无更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）

公众号二维码

办公AI智能小助手

公众号二维码

网络安全技术点滴分享