从这个网页截图中可以获取以下关于漏洞的关键信息: 漏洞详情 漏洞标题: Cookies uncleared on cross-host / cross-origin redirect 发布者: mcollina 发布时间: Jul 18, 2022 漏洞标识: GHSA-q768-x9m6-m9qp 影响范围 受影响版本: = v5.8.0 影响描述 漏洞影响: 在跨源重定向时,虽然授权头(Authorization headers)已被清除,但敏感的Cookie头未被清除。这可能导致 cookie 泄露到第三方站点或被恶意攻击者控制的重定向目标泄露。 相关讨论: 已有讨论关于在undici中实现cookie存储的建议,表明有用户正在使用 cookie 头。 修复措施 该漏洞已在 v5.7.1 中修复。 绕过方法 默认情况下,此漏洞不可利用。 不启用重定向,即设置 (默认值)。 参考资料 详细报告链接: - HackerOne报告 - Curl文档CVE-2018-1000007 - Curl文档CVE-2022-27776 CVSS评分及漏洞详情 严重性: 低(Low), 评分为 3.7/10 CVSS v3 基本指标: - 攻击向量: 网络 (Network) - 攻击复杂度: 高 (High) - 所需权限: 无 (None) - 用户交互: 无 (None) - 作用范围: 不变 (Unchanged) - 机密性影响: 无 (None) - 完整性影响: 低 (Low) - 可用性影响: 无 (None) - CVSS评分公式: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N CVE ID: CVE-2022-31151 薄弱点: CWE-200 发现者: Haxatron (Analyst)