漏洞总结:CVE-2026-21618 1. 漏洞概述 漏洞名称: Cross-site scripting (XSS) in OAuth Device Authorization screen (OAuth 设备授权屏幕中的跨站脚本攻击) CVE ID: CVE-2026-21618 漏洞类型: CWE-79 (Improper Neutralization of Input During Web Page Generation / Cross-site Scripting) CVSS 评分: 8.5 (HIGH) 漏洞描述: 在 项目的 模块中存在跨站脚本 (XSS) 漏洞。该漏洞允许攻击者通过不当的输入处理在网页生成过程中注入恶意脚本。 2. 影响范围 受影响模块: 受影响文件: 受影响函数: Git 版本范围: 从 commit 开始 到 commit 之前 (不包含该修复版本) 时间范围: 2025-10-01 至 2026-01-19 之间发布的版本。 3. 修复方案 修复版本: 升级到 commit 或更高版本。 修复日期: 2026-01-19 之后发布的版本。 相关参考链接: GitHub Advisory: https://github.com/hexpm/hexpm/security/advisories/GHSA-6cw9-5gg4-rhp OSV Advisory: https://osv.dev/vulnerability/EEF-CVE-2026-21618 修复 Commit: https://github.com/hexpm/hexpm/commit/c692438684ead90c3bcfbf9cc4e63c768c668a8 4. POC/利用代码 截图中未包含具体的 POC 代码或利用脚本。