[Bug Report]: Patch for CVE-2020-8169 in reused component curl

[ltcdCai]

Contact Details

weitingcai2020@gmail.com

What happened?

我通过使用V1SCAN（一个扫描存在于复用代码中1-Day漏洞的工具），发现您的项目中components/curl/lib/url.c文件中的override_login函数可能存在CWE-200 Exposure of Sensitive Information to an Unauthorized Actor漏洞，相关触发逻辑类似https://github.com/advisories/GHSA-whwh-vhp2-pj62, 具体参考链接如下：

CVE-2020-8169: NVD说明链接： https://nvd.nist.gov/vuln/detail/CVE-2020-8169 commit修复链接: https://github.com/curl/curl/commit/600a8cded447c

修复方法： 在components/curl/lib/url.c文件中的override_login函数中, 位于2878和2883行的代码 uc = curl_url_set(data->state.uh, CURLUPART_USER, *userp, 0); 均修改为: uc = curl_url_set(data->state.uh, CURLUPART_USER, *userp, CURLU_URLENCODE);

考虑到其可能存在的潜在风险，我愿意配合您以负责任的方式及时核实、解决和报告发现的漏洞。 如果您需要任何进一步的信息或帮助，请随时与我联系。如果需要，我也可以提交PR帮助您修复。 谢谢您，期待尽快收到您的回复！

Version

master (Default)

What soultions are you seeing the problem on?

No response

Relevant log output

No response