Contact Details

[email protected]

What happened?

我通过使用V1SCAN（一个扫描存在于复用代码中1-Day漏洞的工具），发现您的项目中components/curl/src/tool_getparam.c文件中的getparameter函数可能存在类型为CWE-74 & CWE-99的漏洞，相关触发逻辑类似GHSA-wqc8-jpfx-w9g4, 具体参考链接如下：

CVE-2020-8177:
NVD说明链接：
https://nvd.nist.gov/vuln/detail/CVE-2020-8177
commit修复链接:
curl/curl@8236aba58542c5

修复方法：
在components/curl/src/tool_getparam.c文件中的getparameter函数中, 在1774 行代码 case 'i': 和1775 行代码config->show_headers = toggle; /* show the headers as well in the 中间插入如下代码:

      if(config->content_disposition) {
        warnf(global,
              "--include and --remote-header-name cannot be combined.\n");
        return PARAM_BAD_USE;
      }

考虑到其可能存在的潜在风险，我愿意配合您以负责任的方式及时核实、解决和报告发现的漏洞。 如果您需要任何进一步的信息或帮助，请随时与我联系。如果需要，我也可以提交PR帮助您修复。 谢谢您，期待尽快收到您的回复！

Version

master (Default)

What soultions are you seeing the problem on?

No response

Relevant log output

No response