漏洞关键信息总结 1. 漏洞概述 漏洞ID: EEF-CVE-2026-23939 漏洞类型: 路径遍历 (Path Traversal) / 本地文件存储后端中的路径限制不当 严重程度: 9.9 (高危 / HIGH) 详细描述: 在 项目的 模块中存在漏洞,允许攻击者进行相对路径遍历。该漏洞涉及 文件中的以下程序例程: , , , 。 2. 影响范围 受影响对象: 仅影响使用本地存储后端 (Local Storage backend) 的 自托管部署 (Self-hosted deployments) 的 hexpm 实例。 不受影响: hex.pm 官方服务不受此漏洞影响。 受影响版本范围: 引入版本 (Introduced): 修复版本 (Fixed): 即:从 到 之前的版本均受影响。 3. 修复方案 升级: 将 hexpm 项目升级至修复版本 或更高版本。 参考链接: GitHub 安全公告: https://github.com/hexpm/hexpm/security/advisories/GHSA-42mv-r64p-8669 修复提交: https://github.com/hexpm/hexpm/commit/5d2ccd21f4f45ab3225a73fb5b6c937ba36fdc0 4. POC/利用代码 截图中未包含具体的 POC 代码块,仅提供了相关的 Git Commit Hash 用于定位版本。