漏洞概述 漏洞编号:CVE-2026-43965 漏洞类型:路径遍历(Path Traversal) 漏洞描述:在Clean的依赖管理中,通过恶意构建的 文件,攻击者可以导致任意目录删除。具体而言, 读取的包键未经过验证,直接传递给 函数,该函数通过连接项目构建目录和攻击者控制的键来构造文件系统路径。随后,该路径被传递给 (调用 ),未检查路径是否在预期的 目录内。因此,绝对路径和相对遍历序列(如 )都被视为包键,允许删除任意目录。 影响范围 受影响版本:从0.18.0-rc1到1.17.0的Clean版本。 受影响模块: - - - - (包括elixir、erlang、node、slim、erlang-slim、erlang-alpine、elixir-alpine、node-alpine、scratch等) 修复方案 修复版本: - 和 :修复版本为 - :修复版本为 - :修复版本为 (具体版本见页面中的详细列表) 参考链接 GitHub安全公告 OSV.dev漏洞页面 GitHub提交记录 致谢 发现者:Aly (spect3rl) 发现者:Abdelrahman Ahmed Abokaesem (0x2face) 修复开发者:Louis Pilfold 分析师:Jonatan Männchen / EEF 代码块 页面中未包含具体的POC代码或利用代码。