漏洞总结:CVE-2025-4748 1. 漏洞概述 名称: Erlang OTP 中的绝对路径遍历漏洞 (Absolute path traversal in zip:unzip/1,2) 类型: 路径遍历 (Path Traversal) / 文件操作 (File Manipulation) 描述: Erlang OTP 的 模块中存在路径限制缺陷。攻击者可以利用 , , , 等程序文件/例程,执行绝对路径遍历和文件操作。 2. 影响范围 受影响模块: (具体文件为 ) 受影响函数: , , , 受影响版本: Erlang OTP 17.0 至 28.0.1 (不含) Erlang OTP 27.3.4.1 及之前 Erlang OTP 26.2.5.13 及之前 对应 stdlib 版本范围:2.0 至 7.0.1, 6.2.2.1, 5.2.3.4 3. 修复与规避方案 修复版本: 升级至 OTP 20.0.1, 27.3.4.1, 26.2.5.13 或更高版本。 Git 修复提交: 规避方案 (Workarounds): 在使用 模块提取归档前,先使用 检查归档内容。 确保在将文件提取到磁盘之前,归档中不包含绝对路径。