Уязвимость неправильного ограничения пути к ограниченному каталогу («Обход пути») в hexpm hexpm/hexpm (модуль «Elixir.Hexpm.Store.Local») делает возможным обход относительного пути. Эта уязвимость связана с программными файлами lib/hexpm/store/local.ex и программными подпрограммами «Elixir.Hexpm.Store.Local»:get/3, «Elixir.Hexpm.Store.Local»:put/4, «Elixir.Hexpm.Store.Local»:delete/2, «Elixir.Hexpm.Store.Local»:delete_many/2. Эта проблема НЕ затрагивает службу hex.pm.
Это касается только локальных развертываний с использованием серверной части локального хранилища. Эта проблема затрагивает hexpm: от 931ee0ed46fa89218e0400a4f6e6d15f96406050 до 5d2ccd2f14f45a63225a73fb5b1c937baf36fdc0.
Показать оригинальное описание (EN)
Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in hexpm hexpm/hexpm ('Elixir.Hexpm.Store.Local' module) allows Relative Path Traversal. This vulnerability is associated with program files lib/hexpm/store/local.ex and program routines 'Elixir.Hexpm.Store.Local':get/3, 'Elixir.Hexpm.Store.Local':put/4, 'Elixir.Hexpm.Store.Local':delete/2, 'Elixir.Hexpm.Store.Local':delete_many/2. This issue does NOT affect hex.pm the service. Only self-hosted deployments using the Local Storage backend are affected. This issue affects hexpm: from 931ee0ed46fa89218e0400a4f6e6d15f96406050 before 5d2ccd2f14f45a63225a73fb5b1c937baf36fdc0.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Hex Hexpm
cpe:2.3:a:hex:hexpm:*:*:*:*:*:*:*:*
|
2014-09-29
|
2026-02-26
|