漏洞总结:EEF-CVE-2026-23941 1. 漏洞概述 漏洞类型: HTTP Request Smuggling (HTTP请求走私) 受影响组件: Erlang OTP (inets httpd模块) 详细描述: 该漏洞源于 及 中的逻辑。服务器不拒绝或规范化重复的 头。它使用请求中最早的 来解析正文,而常见的反向代理(如 nginx, Apache Httpd, Envoy)则尊重最后的 值。这违反了 RFC 9112 Section 6.3,导致前端与后端不同步,允许攻击者控制的字节在下一个请求开始时被排队。 严重程度: 7.0 (High) 2. 影响范围 受影响软件包: 受影响版本: OTP 17.0 至 OTP 28.4.1 具体包括:OTP 27.3.4.9, OTP 26.2.5.18 对应 inets 模块版本:5.10 至 9.6.1, 9.3.2.3 和 9.10.5 列表涵盖:OTP-17. 到 OTP-29. 以及 OTP_17. 等版本。 3. 修复方案 该漏洞通过以下 Git 提交进行了修复(Commit Hash): 4. 参考信息 报告者: Luigino Camastra / Aisle Research 修复开发者: Konrad Pietrzak 相关链接: GitHub上的Erlang OTP安全公告及提交记录。