漏洞概述 漏洞编号:CVE-2026-48858 漏洞类型:服务器端请求伪造(SSRF) CVSS 4.0 评分:6.3(中等) 描述:Erlang/OTP 中的 客户端模块( )存在 SSRF 漏洞,允许通过未经验证的 PASV 响应 IP 地址进行 FTP 反弹攻击和 SSRF 攻击。 影响范围 受影响模块: - - - 受影响版本: - 5.10.4 之前版本 - 1.0 到 1.2.6 和 1.2.4.1 到 1.2.3.1 - 17.4 到 20.0.2、28.5.9.2 和 27.3.4.13 - 到 2691a06623 和 521bca244 修复方案 配置调整: - 使用 传递 以启用 EPSV 替代 PASV。 - 或者使用 启用主动模式,或 强制使用 IPv6,以绕过易受攻击的 PASV 路径。 参考链接 GitHub 安全公告 OSV.dev 漏洞详情 GitHub 提交记录 GitHub 提交记录 致谢 发现者:Jonatan Männchen / EEF 修复开发者:Jonatan Männchen / EEF 修复审核者:Ingela Anderton Andin