漏洞关键信息 基本信息 标题: Path Traversal in Local File Store Backend (Development and Self-Hosted Registry Setups) 发布者: maennchen 发布时间: 1 小时前 GHSA ID: GHSA-42mv-r64p-4869 严重性: Moderate (CVSS v4.0 Base Score: 6.9) 影响范围 受影响版本: >= 931ee0ed46fa89218e0400a 修复版本: 5d2ccd2f14f45a63225a73fb5b1c937baf36fdc0 漏洞描述 影响: - 不影响 hex.pm 生产环境,因为它使用不同的存储后端。 - 影响开发和测试环境,当使用本地存储后端时。 - 可能影响自托管或私有注册表部署,如果它们配置为使用本地文件存储后端。 本地存储模块: 包含注释表明它不安全,仅用于开发用途。 修复措施 修复提交: 5d2ccd2 绕过措施: - 避免在任何暴露的环境中使用本地文件存储后端。 - 使用本地后端时,限制对注册表的网络访问。 参考链接 引人漏洞的提交: 931ee0e 修复提交: 5d2ccd2 其他信息 CVE ID: CVE-2026-23939 弱项类型: CWE-22