漏洞概述 CVE编号: CVE-2026-54891 漏洞类型: CWE-924 - 通信信道中传输时消息完整性执行不当 CVSS 4.0 评分: 6.3 (中等) 漏洞描述: 在Erlang/OTP ssl模块中,存在一个漏洞允许网络定位的攻击者在TLS握手期间注入未认证的明文数据,这些数据在握手完成后会被客户端应用程序当作已认证的数据处理。具体而言, 函数在处理预握手状态下的 记录时,没有应用与服务器端相同的检查机制,导致攻击者可以注入未认证的明文数据。 影响范围 受影响模块: 受影响源文件: 受影响版本: - OTP 17.0 之前版本 - OTP 28.5.0.3 之前版本 - OTP 27.3.4.14 之前版本 - OTP 5.3.4 之前版本 - OTP 11.7.3 之前版本 - OTP 11.6.0.3 之前版本 - OTP 11.2.12.10 之前版本 - OTP 22.0 之前版本(TLS 1.3支持添加后) 修复方案 修复状态: 已修复 修复版本: - OTP 29.0.3 - OTP 28.5.0.3 - OTP 27.3.4.14 - OTP 11.7.3 - OTP 11.6.0.3 - OTP 11.2.12.10 - OTP 22.0 参考链接 GitHub安全公告 OSV漏洞页面 GitHub提交 贡献者 发现者: Lukas Backström 修复开发者: Ingela Anderton Andin 修复审查者: Dan Gudmundsson, Jakub Witczak