漏洞概述 CVE编号: CVE-2026-49760 漏洞类型: 栈缓冲区溢出(Stack-based Buffer Overflow) CVSS 4.0 评分: 6.9(中等) 描述: Erlang OTP (erl_interface) 中的 函数存在栈缓冲区溢出漏洞。该函数使用一个内部2000字符的栈缓冲区来格式化术语。当调用时,如果包含一个非常大的整数(编码表示超过2000字符),会导致缓冲区溢出。溢出的字节被限制为ASCII值0-9和A-F,这限制了利用方式,可能导致拒绝服务(Denial of Service)。 影响范围 受影响模块: 受影响源文件: 受影响版本: - OTP 3.7.16 - OTP 17.0 未修复版本: - OTP 5.5.2.1 - OTP 5.7.0.1 - OTP 5.8.1 - OTP 27.3.4.13 - OTP 28.5.0.2 - OTP 29.0.2 修复方案 避免使用: 避免调用 函数处理未经检查的数据,特别是那些编码整数表示可能超过2000字符的数据。 更新版本: 升级到已修复该漏洞的版本。 参考链接 GitHub Advisory OSV.dev GitHub Commit 致谢 发现者: Jonatan Männchen / EEF 修复开发者: Sverker Eriksson