CVE-2026-28808
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 41 — wyżej niż 41% wszystkich znanych CVE
Streszczenie
W Erlang OTP (moduł inets) wykryto podatność polegającą na nieprawidłowej autoryzacji. Gdy dyrektywa script_alias mapuje prefiks URL do katalogu poza DocumentRoot, mod_auth ocenia reguły dostępu względem ścieżki DocumentRoot, a mod_cgi wykonuje skrypt w ścieżce z ScriptAlias. Ta niezgodność ścieżek umożliwia nieuwierzytelnionym atakującym dostęp do skryptów CGI chronionych regułami katalogowymi.
Ocena ryzyka
Organizacja narażona jest na nieautoryzowany dostęp do skryptów CGI, które miały być chronione regułami katalogowymi. Może to prowadzić do ujawnienia wrażliwych danych lub wykonania nieautoryzowanych operacji na serwerze.
Rekomendacja
Należy niezwłocznie zaktualizować Erlang OTP do wersji 28.4.2, 27.3.4.10 lub 26.2.5.19 (lub nowszej) w zależności od używanej gałęzi. Dla środowisk, w których nie można przeprowadzić aktualizacji, należy przejrzeć konfigurację script_alias i reguły dostępu katalogowego.
Oryginalny opis (angielski, źródło NVD)
Incorrect Authorization vulnerability in Erlang OTP (inets modules) allows unauthenticated access to CGI scripts protected by directory rules when served via script_alias. When script_alias maps a URL prefix to a directory outside DocumentRoot, mod_auth evaluates directory-based access controls against the DocumentRoot-relative path while mod_cgi executes the script at the ScriptAlias-resolved path. This path mismatch allows unauthenticated access to CGI scripts that directory rules were meant to protect. This vulnerability is associated with program files lib/inets/src/http_server/mod_alias.erl, lib/inets/src/http_server/mod_auth.erl, and lib/inets/src/http_server/mod_cgi.erl. This issue affects OTP from OTP 17.0 until OTP 28.4.2, 27.3.4.10 and 26.2.5.19 corresponding to inets from 5.10 until 9.6.2, 9.3.2.4 and 9.1.0.6.

