关键信息 漏洞概述 CVE编号: CVE-2025-5025 漏洞名称: No QUIC certificate pinning with wolfSSL 奖励金额: 2540 USD 漏洞详情 描述: libcurl 支持在 HTTPS 传输中固定服务器证书公钥,但在使用 wolfSSL 作为 TLS 后端连接 QUIC for HTTP/3 时,此检查未执行。 影响: 用户可能无意中连接到冒充服务器而未注意到。 CWE编号: CWE-295: Improper Certificate Validation 严重性: 中等 影响版本 受影响版本: curl 8.5.0 到 8.13.0 不受影响版本: curl = 8.14.0 引入版本: 相关提交 解决方案 修复版本: curl 8.14.0 修复提交: 相关提交 建议 1. 升级 curl 至版本 8.14.0 2. 应用补丁到本地版本 3. 避免使用 HTTP/3 或证书固定功能与使用 wolfSSL 构建的 curl 时间线 报告日期: 2025 年 5 月 19 日 发布日期: 2025 年 5 月 28 日 致谢 报告者: Hiroki Kurosawa 修复者: Stefan Eissing