漏洞总结:EEF-CVE-2026-21621 1. 漏洞概述 CVE ID: EEF-CVE-2026-21621 严重程度: 7.0 (High) 漏洞类型: 不正确的授权 (Incorrect Authorization / Improper Scope Enforcement) 详细描述: 在 模块中存在权限提升漏洞。当使用 OAuth 授权交换只读 API 密钥时,资源限定符被忽略。生成的 JWT 接收宽泛的 "api" 范围,而非预期的 "api:read" 范围。 攻击场景: 攻击者若能获取受害者的只读 API 密钥及有效的 2FA (TOTP) 代码,可利用错误范围的 JWT 创建新的全功能 API 密钥。这些密钥默认不过期,允许攻击者执行发布、重命名或修改包等高危操作。 2. 影响范围 受影响项目: 受影响版本范围: 引入版本 (Introduced): 修复版本 (Fixed): 关联标识: CWE ID: CWE-863 (Incorrect Authorization) CAPEC ID: CAPEC-233 3. 修复方案 升级修复: 将项目升级至修复了该漏洞的 commit 版本( 或更高版本)。 参考链接: https://cve.erlef.org/cve/CVE-2026-21621.html https://github.com/hexpm/hexpm/security/advisories/GHSA-739m-872f-6w3