CVE-2026-28808

Name of the Vulnerable Software and Affected Versions Erlang OTP versões 17.0 até 28.4.2, 26.2.5.19 e 27.3.4.10

Description Um problema de autorização incorreta existe no Erlang OTP (módulos inets) que permite acesso não autenticado a scripts CGI protegidos por regras de diretório quando servidos via script alias. Isso ocorre porque mod auth avalia os controles de acesso baseados em diretório em relação ao caminho relativo a DocumentRoot, enquanto mod cgi executa scripts no caminho resolvido por ScriptAlias, criando uma incompatibilidade de caminho. Os arquivos de programa afetados são lib/inets/src/http server/mod alias.erl, lib/inets/src/http server/mod auth.erl e lib/inets/src/http server/mod cgi.erl.

Recommendations Mova os scripts CGI para dentro de DocumentRoot e use alias em vez de script alias para garantir que mod auth resolva o caminho correto. Aplique controles de acesso baseados em URL em uma camada de proxy reverso para bloquear o acesso não autenticado ao prefixo de URL script alias. Remova mod cgi da cadeia de módulos httpd se a funcionalidade CGI não for necessária.