CVE-2026-21619:Erlang Hex 生态系统中的不安全反序列化 (hex_core, rebar3)
发布: (2026年3月1日 GMT+8 14:10)
2 分钟阅读
原文: Dev.to
Source: Dev.to
概述
漏洞编号: CVE-2026-21619
CVSS 评分: 2.0(低) – CVSS v4.0
发布时间: 2026-03-01
在 hex_core(Hex 包管理器 API 的参考实现)中存在一个严重的非安全反序列化漏洞。该缺陷源于在处理 HTTP 响应体时使用了不安全的 binary_to_term/1 函数。能够控制包镜像或拦截网络流量的攻击者可以注入恶意 Erlang 术语,导致:
- 拒绝服务(DoS):通过耗尽原子表
- 潜在的 远程代码执行(RCE):通过对象注入
CWE‑502 – 反序列化不可信数据
CWE‑400 – 资源消耗失控
攻击向量: 网络
利用状态: 已有概念验证(PoC)
受影响的组件
| 组件 | 受影响版本 | 已修复版本 |
|---|---|---|
hex_core | (源中未指定) | (源中未指定) |
完整 CVE 报告: CVE‑2026‑21619 details (external site) (replace with actual URL)