URL-адреса, содержащие косую черту в процентном кодировании (`/` или `\`), могут обмануть wcurl. сохранение выходного файла за пределами текущего каталога без пользователя явно об этом просил. Этот недостаток затрагивает только инструмент командной строки wcurl.
Показать оригинальное описание (EN)
URLs containing percent-encoded slashes (`/` or `\`) can trick wcurl into saving the output file outside of the current directory without the user explicitly asking for it. This flaw only affects the wcurl command line tool.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Требуется
Нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Ссылки 4
https://curl.se/docs/CVE-2025-11563.html
2499f714-1537-4658-8207-48ae4bb9eae9
https://curl.se/docs/CVE-2025-11563.json
2499f714-1537-4658-8207-48ae4bb9eae9
http://www.openwall.com/lists/oss-security/2025/11/04/1
af854a3a-2127-422b-91ae-364da2661108
https://lists.debian.org/debian-release/2025/11/msg00504.html
134c704f-9b21-4f2e-91b3-4a467353bcc0