Plateforme
apache
Composant
erlang-otp
Corrigé dans
*
*
*
CVE-2026-28808 describes an Incorrect Authorization vulnerability affecting Erlang/OTP versions 17.0.0 and later. This flaw allows unauthenticated access to CGI scripts protected by directory rules when served via scriptalias. The vulnerability stems from a path mismatch between how modauth and mod_cgi handle access control, potentially leading to unauthorized script execution. A fix is available, and users are urged to upgrade.
La vulnérabilité CVE-2026-28808 dans Erlang OTP (modules inets) représente un risque d'accès non autorisé aux scripts CGI protégés par des règles de répertoire lorsqu'ils sont servis via scriptalias. Cela est dû à une divergence dans la manière dont modauth et modcgi évaluent les chemins. Modauth évalue les contrôles d'accès basés sur le répertoire par rapport au chemin relatif au DocumentRoot, tandis que mod_cgi exécute le script au chemin résolu par ScriptAlias. Cela permet à des attaquants non authentifiés d'accéder à des scripts CGI qui devraient être protégés par les règles de répertoire. L'impact potentiel comprend l'exécution de code arbitraire sur le serveur, l'exposition d'informations sensibles et la manipulation de données, en fonction de la fonctionnalité des scripts CGI affectés. La gravité de cette vulnérabilité dépend de la criticité des scripts CGI exposés et de la sensibilité des données qu'ils traitent.
Cette vulnérabilité est exploitée en tirant parti de la différence dans l'évaluation des chemins entre modauth et modcgi. Un attaquant peut configurer scriptalias pour qu'il pointe vers un répertoire en dehors du DocumentRoot, puis tenter d'accéder à un script CGI à l'intérieur de ce répertoire sans fournir les informations d'identification nécessaires. Étant donné que modcgi utilise le chemin résolu par ScriptAlias, le contrôle d'accès basé sur le répertoire, qui est évalué par rapport au DocumentRoot, est contourné. L'exploitation nécessite un accès réseau au serveur web et une connaissance de la configuration de script_alias. La complexité de l'exploitation est relativement faible, ce qui en fait un risque important.
Statut de l'Exploit
EPSS
0.06% (percentile 20%)
CISA SSVC
L'atténuation principale pour CVE-2026-28808 consiste à mettre à jour Erlang OTP vers une version qui inclut la correction. Consultez les notes de publication d'Erlang OTP pour obtenir des instructions de mise à niveau spécifiques. En tant que solution de contournement temporaire, envisagez de restreindre l'accès aux scripts CGI affectés via des pare-feu ou des listes de contrôle d'accès (ACL). De plus, examinez attentivement la configuration de script_alias pour vous assurer que les chemins sont sécurisés et n'autorisent pas l'accès à des répertoires non intentionnels. La mise en œuvre d'une authentification robuste pour tous les scripts CGI est une bonne pratique de sécurité générale qui peut également aider à atténuer ce risque. Surveiller les journaux du serveur à la recherche de tentatives d'accès non autorisées est également crucial.
Actualice Erlang/OTP a la versión 28.4.3 o superior para mitigar esta vulnerabilidad. La vulnerabilidad se debe a una discrepancia en la evaluación de la autorización entre mod_auth y mod_cgi, que permite el acceso no autenticado a scripts CGI. Asegúrese de aplicar la actualización en todos los entornos afectados.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Erlang OTP est une plateforme pour la construction d'applications hautement concurrentes et distribuées, largement utilisée dans les systèmes de haute disponibilité.
script_alias est une directive de configuration dans les serveurs web (comme Apache) qui mappe une URL vers un répertoire sur le système de fichiers.
Si les scripts CGI affectés traitent des données sensibles des utilisateurs, la vulnérabilité pourrait permettre à un attaquant d'accéder à ces informations.
En tant que mesure temporaire, vous pouvez restreindre l'accès aux scripts CGI affectés via des pare-feu ou des ACL.
Vous pouvez trouver plus d'informations dans les notes de publication d'Erlang OTP et dans les bases de données de vulnérabilités telles que NVD (National Vulnerability Database).
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.