Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in hexpm hexpm/hexpm ('Elixir.Hexpm.Store.Local' module) allows Relative Path Traversal. This vulnerability is associated with program files lib/hexpm/store/local.ex and program routines 'Elixir.Hexpm.Store.Local':get/3, 'Elixir.Hexpm.Store.Local':put/4, 'Elixir.Hexpm.Store.Local':delete/2, 'Elixir.Hexpm.Store.Local':delete_many/2.
This issue does NOT affect hex.pm the service. Only self-hosted deployments using the Local Storage backend are affected.
This issue affects hexpm: from 931ee0ed46fa89218e0400a4f6e6d15f96406050 before 5d2ccd2f14f45a63225a73fb5b1c937baf36fdc0.
A path traversal vulnerability in hexpm's Local Storage backend allows attackers to access files outside the intended directory through relative path manipulation. This affects only self-hosted hexpm deployments, not the official hex.pm service.
تسمح ثغرة اجتياز المسار النسبي في وحدة 'Elixir.Hexpm.Store.Local' للمهاجمين بالوصول إلى الملفات خارج المجلد المقصود من خلال معالجة مسارات غير محدودة بشكل صحيح. تؤثر هذه الثغرة فقط على نشرات hexpm ذاتية الاستضافة التي تستخدم واجهة التخزين المحلي.
A path traversal vulnerability in hexpm's Local Storage backend allows attackers to access files outside the intended directory through relative path manipulation. This affects only self-hosted hexpm deployments, not the official hex.pm service.
Update hexpm to version containing commit 5d2ccd2f14f45a63225a73fb5b1c937baf36fdc0 or later. For self-hosted deployments, implement strict input validation on file paths, use allowlists for permitted directories, and apply principle of least privilege to storage backend processes.
قم بتحديث hexpm إلى الإصدار الذي يحتوي على الالتزام 5d2ccd2f14f45a63225a73fb5b1c937baf36fdc0 أو أحدث. بالنسبة للنشر الذاتي، قم بتنفيذ التحقق الصارم من مدخلات المسارات، واستخدم قوائم بيضاء للمجلدات المسموحة، وطبق مبدأ الامتيازات الأقل على عمليات واجهة التخزين.