发布日期：2024-12-05
更新日期：2025-02-12

受影响系统：

erlang/otp erlang/otp 27.0
erlang/otp erlang/otp 26.2
erlang/otp erlang/otp 25.3.2.8

描述：

---

CVE(CAN) ID: CVE-2024-53846

Erlang/OTP是Erlang/OTP开源的一个JavaScript编写的处理异常的库，该库可以捕捉node.js内置API引发的异常。
Erlang/OTP OTP-25.3.2.8版本、OTP-26.2版本和OTP-27.0版本存在证书验证错误漏洞，该漏洞源于SSL应用程序引入了回归，攻击者可利用该漏洞导致服务器或客户端在出现错误的扩展密钥用法时进行对等验证。

<**>

建议：

---

厂商补丁：

erlang/otp
----------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/erlang/otp/security/advisories/GHSA-qw6r-qh9v-638v

浏览次数：25
严重程度：0（网友投票）