一、 漏洞 CVE-2025-0167 基础信息
漏洞标题
netrc文件及默认凭证泄露漏洞
来源:AIGC 神龙大模型
漏洞描述信息
当curl被要求使用`.netrc`文件来获取认证信息**并且**跟随HTTP重定向时,在特定情况下,可能会将第一个主机的密码泄露给被重定向到的主机。
该漏洞仅在`netrc`文件中存在一个`default`条目且该条目同时省略了用户名和密码的情况下才会出现,这种情况较为罕见。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
信息暴露
来源:AIGC 神龙大模型
漏洞标题
netrc and default credential leak
来源:美国国家漏洞数据库 NVD
漏洞描述信息
When asked to use a `.netrc` file for credentials **and** to follow HTTP
redirects, curl could leak the password used for the first host to the
followed-to host under certain circumstances.
This flaw only manifests itself if the netrc file has a `default` entry that
omits both login and password. A rare circumstance.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-0167 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-0167 的情报信息
-
标题: curl - netrc and default credential leak - CVE-2025-0167 -- 🔗来源链接
标签:
- https://curl.se/docs/CVE-2025-0167.json
-
标题: Just a moment... -- 🔗来源链接
标签:
- https://nvd.nist.gov/vuln/detail/CVE-2025-0167