漏洞概述 漏洞ID: CVE-2026-6253 描述: 代理凭据在重定向到代理时泄露。curl 可能会错误地将第一个代理的凭据传递给第二个代理。这种情况发生在以下条件下: - curl 为不同 URL 方案(scheme)使用不同代理。 - 第一个代理需要凭据。 - 第二个代理不使用凭据。 - 第一个代理使用 协议。 - curl 被要求跟随重定向到使用另一个方案(如 )的 URL,并通过另一个不同的代理访问。 影响范围 受影响版本: - 从 7.14.1 到 8.20.0(包括 8.20.0) - 从 3600b225913e7359aef0a614b12df4c24d60e 到 188c2166a28f973225e26da70b5e5cc13725f(Git 提交) 不受影响版本: - 8.20.0 及之后的版本 修复方案 修复版本: 8.20.0 及之后的版本 修复提交: 188c2166a28f973225e26da70b5e5cc13725f 详细信息 URL: - 文档: https://curl.se/docs/CVE-2026-6253.html - 报告: https://hackerone.com/reports/3606963 CVSS: - 评分: 5.2 - 描述: 不受保护的凭据 严重程度: 中等 最后修改: 2026-04-29T08:00:00.002Z 发布日期: 2026-04-29T08:00:00.002Z 贡献者 Dwij Mehta (O2 Lab): 指纹 Texas A&M University: 指纹 Daniel Stenberg: 修复开发者