漏洞概述 CVE-2026-23942: Erlang OTP 中的 模块存在“受限目录的路径名限制不当”(Path Traversal)漏洞。 原因: 该漏洞源于程序模块 中的 例程。SFTP 服务器使用字符串前缀匹配( )而非适当的路径组件验证来检查路径是否在配置的根目录内。 后果: 允许经过身份验证的用户访问共享配置根目录前缀的兄弟目录。例如,若根目录设为 ,路径 会被错误地认为在根目录内。 CVSS Score: 5.3 (MEDIUM) 影响范围 受影响的主要模块及版本如下: 总体影响范围**: 从 OTP 17.0 到 OTP 28.4.1,以及 OTP 27.3.4.9 和 OTP 26.2.5.18;对应 ssh 从 3.0.1 到 5.5.1, 5.2.11.6 和 5.1.4.14。 修复方案 (Workarounds) 官方建议的临时规避措施包括: 1. 使用 OS 级 在隔离的文件系统环境中运行 Erlang VM/SFTP 服务器进程。 2. 确保运行 Erlang VM 的 OS 用户没有读取或写入敏感/重要数据的权限。 3. 确保 SFTP 服务器端口不可从非受信任的机器访问。 4. 使用避免常见前缀的目录命名约定(例如使用 而不是 )。 POC/利用代码 截图中未包含具体的 POC 代码或利用代码块。