漏洞总结:CVE-2026-32148 漏洞概述 标题:Lockfile checksums not verified in Hex allows dependency integrity bypass ID:CVE-2026-32148 CVSS 评分:8.9 (High) CWE:CWE-354 (Improper Validation of Integrity Check Value) 描述: 在 Hex.pm 的 Hex 包管理器中, 模块存在验证缺陷。Hex 依赖 文件中的校验和来确保构建的可重复性和完整性。然而, 函数从未执行校验和验证。原因是 返回的锁数据使用字符串形式的依赖名称,而验证逻辑使用的是原子(atom)形式的名称。这种类型不匹配导致验证代码路径被静默跳过。虽然包从注册表初始下载时仍会校验和,但锁文件与已解析依赖之间的不匹配无法被检测到。 攻击者可以通过影响缓存包(例如通过本地缓存投毒或受感染的注册表)提供修改后的依赖内容,这些内容将在未被检测到的情况下被接受。 文件会被静默重写,用注册表的校验和值覆盖,从而抹去篡改的证据。 影响范围 受影响软件:Hex (Hex.pm) 受影响版本:0.16.0 到 2.4.2 之前 受影响模块: 受影响源文件: 受影响例程: 修复方案 修复状态:已修复 修复版本: 修复提交: OTP/Hex: GitHub/Hex.pm: * 补丁链接: