关键漏洞信息 漏洞ID: CURL-CVE-2025-10148 别名: CVE-2025-10148 摘要: 可预测的WebSocket掩码 修改时间: 2025-09-10T14:23:09.00Z 受影响的包: curl 影响范围: both 相关链接: - JSON: https://curl.se/docs/CVE-2025-10148.json - HTML: https://curl.se/docs/CVE-2025-10148.html - HackerOne报告: https://hackerone.com/reports/3330839 CWE: CWE-349 (生成可预测的数字或标识符) 奖励金额: $595 USD 最后受影响版本: 8.15.0 严重性: Low 发布时间: 2025-09-10T08:00:00.000Z 受影响版本范围: - SEMVER: 8.11.0 到 8.16.0 - GIT: d78e129d50b2d190f1c1bde2ad1f62f02f152db0 到 84db7a9eae8468c0445b15aa806fa7fa806fa0f2 受影响的具体版本: 8.15.0, 8.14.1, 8.14.0, 8.13.0, 8.12.1, 8.12.0, 8.11.1, 8.11.0 发现者: Calvin Ruocco (Vector Informatik GmbH) 修复开发者: Daniel Stenberg 详细描述: curl的websocket代码没有为每个新的传出帧更新32位掩码模式,而是使用了一个固定的掩码,并在整个连接中持续使用。这允许恶意服务器在两个通信方之间诱导流量,这些流量可能被涉及的代理(配置或透明)解释为真实的HTTP流量,从而污染其缓存。该缓存中的中毒内容随后可以提供给该代理的所有用户。