CVE-2026-23939: 本地文件存储后端中的路径遍历 漏洞概述 CVE ID: CVE-2026-23939 CVSS 评分: 6.9 (MEDIUM) 描述: 在 hexpm/hexpm 项目的 模块中存在路径限制不当(Improper Limitation of a Pathname to a Restricted Directory)漏洞,导致相对路径遍历(Relative Path Traversal)。 受影响文件: 受影响函数: - :get/3 - :put/4 - :delete/2 - :delete_many/2 注意: 此漏洞不影响 hex.pm 官方服务,仅影响使用本地存储后端(Local Storage backend)的自托管部署。 影响范围 模块: Hexpm.Store.Local 源文件: lib/hexpm/store/local.ex 受影响版本: git commit 修复版本: git commit 修复方案 (Workarounds) 1. 避免在任何暴露的环境中(exposed environment)使用本地文件存储后端。 2. 限制在使用本地后端时进行注册的网络访问。 3. 生产部署应使用对象存储(例如,S3兼容的后端)代替本地文件系统存储。