漏洞概述 CVE编号: CVE-2026-6253 漏洞名称: proxy credentials leak over redirect-to proxy 描述: curl 在特定条件下可能会错误地将凭证传递给第一个代理到第二个代理。这种情况发生在以下条件同时满足时: 1. curl 被设置为对不同的 URL 方案使用不同的代理。 2. 第一个代理需要凭证。 3. 第二个代理不使用凭证。 4. 在使用第一个代理(例如 )时,curl 被要求遵循重定向到另一个方案(例如 )的 URL,并使用第二个不同的代理访问。 影响范围 受影响版本: 从 curl 7.14.1 到包括 8.19.0 不受影响版本: curl = 8.20.0 引入版本: https://github.com/curl/curl/commit/3b60bb725913ce 严重程度: 中等 CWE编号: CWE-522: Insufficiently Protected Credentials 修复方案 修复版本: https://github.com/curl/curl/commit/188c2f166a20fa97c32325 建议措施: - A - 升级到 curl 和 libcurl 8.20.0 - B - 应用补丁并重新构建 libcurl - C - 避免使用带有凭证的代理 时间线 报告日期: 2026年4月13日 联系日期: 2026年4月23日 发布版本: libcurl 8.20.0 于2026年4月29日发布 致谢 报告者: Dwij Mehta (O2 Lab, Texas A&M University) 补丁提供者: Daniel Stenberg