漏洞概述 CVE-2026-23941: Erlang OTP (inets httpd 模块) 中存在 HTTP 请求走私 (HTTP Request Smuggling) 漏洞。 原因: 服务器不拒绝或规范化重复的 头。它使用请求中最早的 值来解析 body,而常见的反向代理(如 nginx, Apache, Envoy)则使用最后一个 值。 后果: 这违反了 RFC 9112 Section 6.3,导致前端和后端去同步,允许攻击者控制字节作为下一个请求的开始。 涉及文件: 及 例程。 影响范围 受影响模块: (Module: ) 受影响版本: OTP 17.0 至 OTP 28.4.1 OTP 27.3.9.4 OTP 26.2.5.18 (对应 inets 版本从 5.10 到 9.6.1, 9.3.2.3 和 9.10.5) 修复方案 (Workarounds) 1. 配置前端代理: 配置前端代理拒绝带有重复 头的请求。 2. 禁用 Keep-Alive: 禁用 httpd 的 HTTP keep-alive,通过在 httpd 配置中添加 。 注意: 这会影响客户端进行多次请求时的性能。 3. 部署 WAF: 部署 Web 应用防火墙 (WAF) 并配置为拒绝带有多个 头的请求。 POC/利用代码 截图中未包含具体的利用代码 (POC),仅提供了修复相关的 GitHub Commit 链接。