漏洞概述 CVE编号: CVE-2026-48599 漏洞名称: Authorization bypass via path binding override in elixir-grpc/grpc HTTP transcoding 漏洞描述: 在 库中,通过路径绑定覆盖实现授权绕过。攻击者可以通过在查询字符串或请求体中注入冲突值,访问或修改属于其他用户的资源。 CVSS 4.0 评分: 7.6 (HIGH) 弱点类型 (CWE): CWE-639 — Authorization Bypass Through User-Controlled Key CAPEC: CAPEC-460 — HTTP Parameter Pollution (HPP) 影响范围 受影响模块: - - 源文件: - 例程: 受影响版本: - pkg:hex/grpc: 版本 = 1.8.9 - pkg:github/elixir-grpc/grpc: 版本 >= 336ba095db 参考链接 GitHub Advisory OSV Vulnerability GitHub Commit 致谢 发现者: Peter Ullrich 修复开发者: Paulo Valente 分析师: Jonatan Männchen 其他信息 CVE 记录: OSV OSV 记录: OSV