漏洞总结:EEF-CVE-2026-28808 (CVE-2026-28808) 漏洞概述 漏洞类型: ScriptAlias CGI 目标绕过目录认证 (ScriptAlias CGI targets bypass directory auth)。 严重程度: 6.3 (High)。 详细描述: 在 Erlang/OTP 的 HTTP 模块中,当 将 URL 前缀映射到 之外的目录时, 会基于 相对路径评估目录访问控制。然而, 却在 解析的路径上执行脚本。这种路径不匹配允许未经认证的访问本应由目录规则保护的 CGI 脚本。 涉及文件: , , 。 影响范围 该漏洞影响从 OTP 17.0 到 OTP 28.4.2、OTP 27.3.4.10 和 OTP 26.2.5.19 的版本。具体受影响的 OTP 版本系列包括: OTP-17. OTP-18. OTP-19. OTP-20. OTP-21. OTP-22. OTP-23. OTP-24. OTP-25. OTP-26. OTP-27. OTP-28. OTP-29. 修复方案 修复版本: 升级到修复后的版本(对应 从 5.10 到 9.6.2, 9.3.2.4 和 9.10.6)。 Git Commit Hash: 参考链接: https://github.com/erlang/otp/security/advisories/GHSA-3vhp-h532-mc3f * https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-28808