漏洞关键信息 漏洞概述 名称: Unsafe Deserialization of Erlang Terms in hex_core 发布人: maennchen 发布日期: 1小时前 CVE ID: CVE-2026-21619 影响的包及版本 hex (otp) - 影响版本: >= 2.3.0 and = 3.9.1 and <= 3.27.0 - 修复版本: 3.27.0 影响 Hex客户端(hex_core)使用 反序列化从Hex API接收到的Erlang项,但限制不足。 如果攻击者能够控制Hex API返回的HTTP响应体,这将允许进行拒绝服务攻击,如原子表耗尽,导致VM崩溃。没有已知的版本允许远程代码执行。 修复措施 提交修复补丁: - hexpm/hex_core@cdf7260 - hexpm/hex@636739f - erlang/rebar3@1d4478f 权宜之计 确保Hex API URL (HEX_API_URL)仅指向受信端点。没有客户端解决方案能完全缓解此问题,不应用补丁无法完全解决此问题。 引用 hex_core模块: https://github.com/hexpm/hex_core/blob/main/src/hex_api.erl Hex代管模块: https://github.com/hexpm/hex/blob/main/src/mix_hex_api.erl Rebar3代管模块: https://github.com/erlang/rebar3/blob/main/apps/rebar/src/vendord/r3_hex_api.erl hex_core补丁: hexpm/hex_core@cdf7260 Hex代管补丁: hexpm/hex@636739f Rebar3代管补丁: erlang/rebar3@1d4478f 严重性 CVSS v4.0 评分: 2.0/10 攻击向量: 网络 攻击复杂性: 低 攻击需求: 存在 所需权限: 低 用户交互: 需要 后续系统影响: 保密性无影响,完整性无影响,可用性低 发现者和修复开发者 发现者: realcorvus 修复开发者: maennchen