平台
apache
组件
erlang-otp
修复版本
*
*
*
CVE-2026-28808 describes an Incorrect Authorization vulnerability affecting Erlang/OTP versions 17.0.0 and later. This flaw allows unauthenticated access to CGI scripts protected by directory rules when served via scriptalias. The vulnerability stems from a path mismatch between how modauth and mod_cgi handle access control, potentially leading to unauthorized script execution. A fix is available, and users are urged to upgrade.
CVE-2026-28808 在 Erlang OTP (inets 模块) 中,当通过 scriptalias 提供 CGI 脚本时,允许未经授权访问受目录规则保护的 CGI 脚本的漏洞。这是由于 modauth 和 modcgi 评估路径的方式存在差异造成的。modauth 针对 DocumentRoot 相对路径评估基于目录的访问控制,而 mod_cgi 在 ScriptAlias 解析的路径上执行脚本。这种路径不匹配允许未经身份验证的攻击者访问本来应该受目录规则保护的 CGI 脚本。潜在影响包括在服务器上执行任意代码、暴露敏感信息和操纵数据,具体取决于受影响的 CGI 脚本的功能。此漏洞的严重程度取决于暴露的 CGI 脚本的临界性和它们处理的数据的敏感性。
此漏洞通过利用 modauth 和 modcgi 之间路径评估的差异来利用。攻击者可以将 scriptalias 配置为指向 DocumentRoot 之外的目录,然后尝试访问该目录中的 CGI 脚本,而无需提供必要的凭据。由于 modcgi 使用 ScriptAlias 解析的路径,因此相对于 DocumentRoot 评估的基于目录的访问控制将被绕过。利用需要对 Web 服务器的网络访问以及对 script_alias 配置的了解。利用的复杂性相对较低,使其成为一个重大的风险。
漏洞利用状态
EPSS
0.06% (20% 百分位)
CISA SSVC
CVE-2026-28808 的主要缓解措施是更新到包含修复程序的 Erlang OTP 版本。请参阅 Erlang OTP 发布说明以获取具体的升级说明。作为临时解决方法,请考虑通过防火墙或访问控制列表 (ACL) 限制对受影响的 CGI 脚本的访问。此外,请仔细审查 script_alias 配置,以确保路径安全且不允许访问意外目录。为所有 CGI 脚本实施强大的身份验证是一种通用的安全最佳实践,也可以帮助减轻此风险。监控服务器日志以查找未经授权的访问尝试也很重要。
Actualice Erlang/OTP a la versión 28.4.3 o superior para mitigar esta vulnerabilidad. La vulnerabilidad se debe a una discrepancia en la evaluación de la autorización entre mod_auth y mod_cgi, que permite el acceso no autenticado a scripts CGI. Asegúrese de aplicar la actualización en todos los entornos afectados.
漏洞分析和关键警报直接发送到您的邮箱。
Erlang OTP 是一个用于构建高并发、分布式应用程序的平台,广泛用于高可用性系统。
script_alias 是 Web 服务器(如 Apache)中的一个配置指令,它将 URL 映射到文件系统中的目录。
如果受影响的 CGI 脚本处理敏感的用户数据,则此漏洞可能允许攻击者访问这些信息。
作为临时措施,可以通过防火墙或 ACL 限制对受影响的 CGI 脚本的访问。
您可以在 Erlang OTP 发布说明和 NVD(国家漏洞数据库)等漏洞数据库中找到更多信息。