Platform
apache
Component
erlang-otp
Opgelost in
*
*
*
Deze kwetsbaarheid, aangeduid als CVE-2026-28808, betreft een Incorrecte Autorizatie in Erlang/OTP, specifiek in de inets modules. Door een discrepantie in hoe directory rules en script_alias worden geëvalueerd, kunnen ongeautoriseerde gebruikers toegang krijgen tot CGI scripts die seharusnya beschermd zouden worden. De kwetsbaarheid treft Erlang/OTP versies 17.0.0 en hoger. Een patch is beschikbaar om dit probleem te verhelpen.
CVE-2026-28808 in Erlang OTP (inets modules) vormt een risico op ongeautoriseerde toegang tot CGI-scripts die beveiligd zijn door directoryregels wanneer ze via scriptalias worden geserveerd. Dit komt door een discrepantie in de manier waarop modauth en modcgi paden evalueren. Modauth evalueert directory-gebaseerde toegangscontroles ten opzichte van het DocumentRoot-relatieve pad, terwijl mod_cgi het script uitvoert op het pad dat door ScriptAlias wordt opgelost. Dit stelt ongeautoriseerde aanvallers in staat om toegang te krijgen tot CGI-scripts die eigenlijk beschermd zouden moeten worden door directoryregels. De potentiële impact omvat de uitvoering van willekeurige code op de server, de blootstelling van gevoelige informatie en de manipulatie van gegevens, afhankelijk van de functionaliteit van de getroffen CGI-scripts. De ernst van deze kwetsbaarheid hangt af van de kritikaliteit van de blootgestelde CGI-scripts en de gevoeligheid van de gegevens die ze verwerken.
Deze kwetsbaarheid wordt uitgebuit door te profiteren van het verschil in pad evaluatie tussen modauth en modcgi. Een aanvaller kan scriptalias configureren om naar een directory buiten de DocumentRoot te wijzen en vervolgens proberen toegang te krijgen tot een CGI-script binnen die directory zonder de vereiste inloggegevens te verstrekken. Omdat modcgi het pad gebruikt dat wordt opgelost door ScriptAlias, worden de directory-gebaseerde toegangscontroles, die worden geëvalueerd ten opzichte van de DocumentRoot, omzeild. Voor exploitatie is netwerktoegang tot de webserver en kennis van de script_alias-configuratie vereist. De complexiteit van de exploitatie is relatief laag, waardoor het een aanzienlijk risico vormt.
Exploit Status
EPSS
0.06% (20% percentiel)
CISA SSVC
De belangrijkste mitigatie voor CVE-2026-28808 is het updaten van Erlang OTP naar een versie die de correctie bevat. Raadpleeg de release notes van Erlang OTP voor specifieke upgrade-instructies. Als tijdelijke workaround kunt u overwegen om de toegang tot de getroffen CGI-scripts te beperken via firewalls of toegangscontrolelijsten (ACL's). Controleer bovendien zorgvuldig de script_alias-configuratie om ervoor te zorgen dat paden veilig zijn en geen toegang tot onbedoelde directories toestaan. Het implementeren van een robuuste authenticatie voor alle CGI-scripts is een algemene beveiligingsbest practice die ook kan helpen om dit risico te beperken. Het monitoren van serverlogs op ongeautoriseerde toegangs pogingen is ook cruciaal.
Actualice Erlang/OTP a la versión 28.4.3 o superior para mitigar esta vulnerabilidad. La vulnerabilidad se debe a una discrepancia en la evaluación de la autorización entre mod_auth y mod_cgi, que permite el acceso no autenticado a scripts CGI. Asegúrese de aplicar la actualización en todos los entornos afectados.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Erlang OTP is een platform voor het bouwen van hoog concurrente, gedistribueerde applicaties, veel gebruikt in high-availability systemen.
script_alias is een configuratiedirective in webservers (zoals Apache) die een URL afbeeldt op een directory op het bestandssysteem.
Als de getroffen CGI-scripts gevoelige gebruikersgegevens verwerken, kan de kwetsbaarheid een aanvaller in staat stellen om toegang te krijgen tot die informatie.
Als tijdelijke maatregel kunt u de toegang tot de getroffen CGI-scripts beperken via firewalls of ACL's.
U kunt meer informatie vinden in de release notes van Erlang OTP en in kwetsbaarheidsdatabases zoals NVD (National Vulnerability Database).
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.