Plataforma
apache
Componente
erlang-otp
Corrigido em
*
*
*
A vulnerabilidade CVE-2026-28808 é uma falha de autorização identificada nos módulos inets do Erlang/OTP. Essa falha permite que usuários não autenticados acessem scripts CGI que deveriam estar protegidos por regras de diretório, explorando uma discrepância entre a avaliação de acesso do servidor web e a execução do script. A vulnerabilidade afeta versões 17.0.0 e posteriores do Erlang/OTP e está associada aos arquivos lib/inets/src/httpserver/modalias. Não há um patch oficial disponível no momento da publicação.
A vulnerabilidade CVE-2026-28808 no Erlang OTP (módulos inets) representa um risco de acesso não autorizado a scripts CGI protegidos por regras de diretório quando servidos via scriptalias. Isso ocorre devido a uma discrepância na forma como modauth e modcgi avaliam os caminhos. Modauth avalia os controles de acesso baseados em diretório em relação ao caminho relativo ao DocumentRoot, enquanto mod_cgi executa o script no caminho resolvido pelo ScriptAlias. Isso permite que atacantes não autenticados acessem scripts CGI que deveriam estar protegidos pelas regras de diretório. O impacto potencial inclui a execução de código arbitrário no servidor, a exposição de informações confidenciais e a manipulação de dados, dependendo da funcionalidade dos scripts CGI afetados. A severidade desta vulnerabilidade depende da criticidade dos scripts CGI expostos e da sensibilidade dos dados que processam.
Esta vulnerabilidade é explorada aproveitando a diferença na avaliação de caminhos entre modauth e modcgi. Um atacante pode configurar scriptalias para apontar para um diretório fora do DocumentRoot e, em seguida, tentar acessar um script CGI dentro desse diretório sem fornecer as credenciais necessárias. Como modcgi usa o caminho resolvido por ScriptAlias, o controle de acesso baseado em diretório, que é avaliado em relação ao DocumentRoot, é ignorado. A exploração requer acesso de rede ao servidor web e conhecimento da configuração do script_alias. A complexidade da exploração é relativamente baixa, tornando-a um risco significativo.
Status do Exploit
EPSS
0.06% (percentil 20%)
CISA SSVC
A principal mitigação para CVE-2026-28808 é atualizar o Erlang OTP para uma versão que inclua a correção. Consulte as notas de lançamento do Erlang OTP para obter instruções específicas de atualização. Como uma medida temporária, considere restringir o acesso aos scripts CGI afetados por meio de firewalls ou listas de controle de acesso (ACLs). Além disso, revise cuidadosamente a configuração do script_alias para garantir que os caminhos sejam seguros e não permitam o acesso a diretórios não intencionais. A implementação de uma autenticação robusta para todos os scripts CGI é uma prática de segurança geral recomendada que também pode ajudar a mitigar este risco. Monitorar os logs do servidor em busca de tentativas de acesso não autorizado também é crucial.
Actualice Erlang/OTP a la versión 28.4.3 o superior para mitigar esta vulnerabilidad. La vulnerabilidad se debe a una discrepancia en la evaluación de la autorización entre mod_auth y mod_cgi, que permite el acceso no autenticado a scripts CGI. Asegúrese de aplicar la actualización en todos los entornos afectados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Erlang OTP é uma plataforma para construir aplicações altamente concorrentes e distribuídas, amplamente utilizada em sistemas de alta disponibilidade.
script_alias é uma diretiva de configuração em servidores web (como Apache) que mapeia uma URL para um diretório no sistema de arquivos.
Se os scripts CGI afetados processarem dados confidenciais do usuário, a vulnerabilidade poderá permitir que um atacante acesse essas informações.
Como medida temporária, você pode restringir o acesso aos scripts CGI afetados por meio de firewalls ou ACLs.
Você pode encontrar mais informações nas notas de lançamento do Erlang OTP e em bancos de dados de vulnerabilidades como NVD (National Vulnerability Database).
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.