>>114069>>114077Hier stimmt Felix mal nicht zu und ist ausnahmsweise bei Fefe.
* Der Typ, der den CVE gegen das Wortpresse-Steckein gemeldet hat, hat nicht kapiert, dass die API keine Authentifizierung können soll
* Der Typ, der den CVE gegen curl gemeldet hat, hat anscheinend einfach die Commit-Logs auf "off-by-one" etc. gegreppt, und nicht kapiert, dass das nur den Debug-Build betraf und somit nie das Licht der Welt in Binärform erblickt hat und zum Zeitpunkt der CVE-Meldung bereits gefixt war [0]
Man muss sich mal klarmachen, dass ein CVE gegen jemanden aufzumachen noch weniger Arbeit mit sich bringt, als auf einem Bilderbrett zu pfostieren: Auf einem Bilderbrett muss man seine Behauptungen wenigstens belegen, das CVE kann man einfach so mit seinen Behauptungen aufmachen. Da wäre das Mitliefern eines Proof-of-Concepts als zwingende Voraussetzung zum Eröffnen des CVEs das Mindeste.
Das ist vielmehr Narzissmus auf Seiten des CVE-Reporters ("schaut mal, wie viele CVEs ich auf dem Kerbholz habe!") und ungefähr auf dem Niveau "ich habe ein paar Variablen im Linux-Kernel-Quellkot
const
gemacht, nun darf ich mich Kernel-Hacker nennen!". Vergleiche auch die ganzen Inder, die Offene-Soße-Projekte auf Github mit Trivialänderungen (nicht vom Kot, vom Readme!) überfluten, damit sie dann als Contributor dastehen. Solche Leute braucht niemand.
[0] https://curl.se/docs/CVE-2023-52071.html