EEF-CVE-2026-32148 漏洞总结 漏洞概述 漏洞名称:Insufficient Verification of Data Authenticity vulnerability in hexpm hex (Hex.RemoteConverger module) 漏洞描述:Hex 存储依赖项的 checksum 以确保可重现和完整性检查的构建。然而, 从未执行 checksum 验证,因为 返回的 lock 数据使用字符串依赖项名称,而验证逻辑与原子名称进行比较。这种类型不匹配导致验证代码路径被静默跳过。虽然 checksum 在最初从注册表下载软件包时仍被验证,但 lockfile 和已解析依赖项之间的不匹配未被检测到。 攻击场景:攻击者可以通过影响缓存的软件包(例如,通过本地缓存投毒或受污染的注册表)提供修改后的依赖项内容,这些内容可以在未检测到的情况下被接受。Mix.lock 文件会被静默重写,使用来自注册表的 checksum 值,从而擦除篡改的证据。 CVSS 评分:9.9 (High) CVSS 向量:CVSS:3.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VA:H/SC:N/SI:N/SA:H 影响范围 受影响软件:hex (https://github.com/hexpm/hex.git) 受影响版本: - v0. - v1. - v2. 影响版本范围: - 引入版本:8d1576f28c4d41d1f1ed6b17c0d43816cf1cb303 - 修复版本:d7528c8199a114d511580b13af460026a5a1c58e 影响版本:从 0.16.0 到 2.4.2 修复方案 修复版本:升级到 v2.4.2 或更高版本 修复提交**:https://github.com/hexpm/hex/commit/d7528c8199a114d511580b13af460026a5a1c58e 参考链接 CVE-2026-32148: https://cna.ariel.org/osv/EEF-CVE-2026-32148.html GHSA-hmv9-4mfr-m92v: https://github.com/hexpm/hex/security/advisories/GHSA-hmv9-4mfr-m92v 修复提交: https://github.com/hexpm/hex/commit/d7528c8199a114d511580b13af460026a5a1c58e 数据库特定信息