CURL – NETRC y fuga de credencial predeterminada

Resumen sobre la Vulnerabilidad CVE-2025-0167

El Proyecto Curl ha emitido un informe de seguridad sobre una vulnerabilidad crítica que ha sido etiquetada como CVE-2025-0167. Esta vulnerabilidad afecta la forma en que Curl maneja las credenciales almacenadas en un archivo .netrc cuando se realizan redirecciones HTTP. En situaciones específicas, Curl puede filtrar credenciales sensibles entre diferentes hosts, particularmente si el archivo .netrc no contiene credenciales adecuadas para los hosts. Este problema se manifiesta cuando una entrada default en el archivo .netrc está presente sin un nombre de usuario o una contraseña especificados.

Descripción de la Vulnerabilidad

Un caso de uso que ilustra esta vulnerabilidad sería una transferencia de datos desde un host inicial (nn.tld) que redirige a un segundo host (zz.tld). Si el archivo .netrc está configurado de la siguiente manera:

machine nn.tld
  login mary
  password maryspassword
default

En este escenario, Curl pasaría la contraseña "maryspassword" al segundo host (zz.tld) durante el proceso de redirección, lo que podría resultar en la exposición no intencionada de esta información sensible. Es importante mencionar que este defecto se da en circunstancias específicas y poco comunes, ya que ocurre sólo cuando el archivo .netrc se utiliza de manera que omite el inicio de sesión y la contraseña en su entrada default.

La vulnerabilidad ha sido clasificada bajo la categoría CWE-200, que se refiere a la exposición de información confidencial a actores no autorizados, y tiene una severidad baja. Aunque es poco probable que esta vulnerabilidad se produzca en entornos normales de uso de Curl, es importante que los usuarios tomen medidas preventivas.

Soluciones Recomendadas

El Proyecto Curl ha propuesto varias acciones que los administradores de sistemas y desarrolladores deben considerar para mitigar esta vulnerabilidad, enumeradas en orden de preferencia:

1. Actualizar Curl y libcurl a la versión 8.12.0: Esta es la solución más directa y efectiva para eliminar la vulnerabilidad.

2. Aplicar un parche a la versión existente y reconstruir: Los usuarios pueden optar por aplicar los parches necesarios si una actualización completa no es posible en su contexto.

3. Evitar el uso de .netrc en combinación con redirecciones: Esta es una medida de precaución que puede ayudar a prevenir la exposición accidental de credenciales.

El informe indica que esta vulnerabilidad no es considerada un error crítico y su relevancia depende del contexto y de cómo se utilice Curl. Sin embargo, es esencial abordar cualquier problema de seguridad, sin importar su severidad, para proteger la información sensible.

Cronología y Créditos

El problema fue reportado al Proyecto Curl el 30 de diciembre de 2024, y la comunicación con los responsables de distribuciones se realizó el 28 de enero de 2025. La versión corregida de rizo 8.12.0 se lanzó el 5 de febrero de 2025, casi al mismo tiempo que se distribuyó la notificación de la vulnerabilidad. Este problema fue reportado por Yihang Zhou y se corrigió gracias al trabajo de Daniel Stenberg.

En conclusión, aunque la vulnerabilidad CVE-2025-0167 tiene una severidad baja, se recomienda encarecidamente a los usuarios de Curl que actualicen a la última versión o implementen soluciones temporales para mitigar el riesgo de exposición de credenciales. La comunidad debe estar alerta ante posibles problemas de seguridad y tomar las medidas adecuadas para proteger la información sensible.

Enlace de la fuente, haz clic para tener más información