Ash框架 on 办公AI智能小助手 https://blog.qife122.com/tags/ash%E6%A1%86%E6%9E%B6/ Recent content in Ash框架 on 办公AI智能小助手 Hugo zh-cn qife Tue, 13 Jan 2026 07:24:45 +0800 Ash Framework 过滤器授权漏洞:不可绕过策略的错误处理与安全修复 https://blog.qife122.com/p/ash-framework-%E8%BF%87%E6%BB%A4%E5%99%A8%E6%8E%88%E6%9D%83%E6%BC%8F%E6%B4%9E%E4%B8%8D%E5%8F%AF%E7%BB%95%E8%BF%87%E7%AD%96%E7%95%A5%E7%9A%84%E9%94%99%E8%AF%AF%E5%A4%84%E7%90%86%E4%B8%8E%E5%AE%89%E5%85%A8%E4%BF%AE%E5%A4%8D/ Tue, 13 Jan 2026 07:24:45 +0800 https://blog.qife122.com/p/ash-framework-%E8%BF%87%E6%BB%A4%E5%99%A8%E6%8E%88%E6%9D%83%E6%BC%8F%E6%B4%9E%E4%B8%8D%E5%8F%AF%E7%BB%95%E8%BF%87%E7%AD%96%E7%95%A5%E7%9A%84%E9%94%99%E8%AF%AF%E5%A4%84%E7%90%86%E4%B8%8E%E5%AE%89%E5%85%A8%E4%BF%AE%E5%A4%8D/ <h3 id="漏洞概述"><strong>漏洞概述</strong></h3> <ul> <li><strong>标识符</strong>: CVE-2025-48043 (GHSA-7r7f-9xpj-jmr7)</li> <li><strong>严重性</strong>: 高危 (CVSS 4.0 评分: 8.6)</li> <li><strong>影响组件</strong>: Ash Framework (<code>ash</code> Erlang包)</li> <li><strong>受影响版本</strong>: &lt; 3.6.2</li> <li><strong>已修复版本</strong>: 3.6.2</li> </ul> <h3 id="漏洞描述"><strong>漏洞描述</strong></h3> <p>当使用基于过滤器的授权机制时,两个边界情况可能导致策略编译器/授权器生成过于宽松(允许通过)的过滤器:</p> Ash框架授权漏洞CVE-2025-48042:特定场景下未授权仍可能触发钩子函数 https://blog.qife122.com/p/ash%E6%A1%86%E6%9E%B6%E6%8E%88%E6%9D%83%E6%BC%8F%E6%B4%9Ecve-2025-48042%E7%89%B9%E5%AE%9A%E5%9C%BA%E6%99%AF%E4%B8%8B%E6%9C%AA%E6%8E%88%E6%9D%83%E4%BB%8D%E5%8F%AF%E8%83%BD%E8%A7%A6%E5%8F%91%E9%92%A9%E5%AD%90%E5%87%BD%E6%95%B0/ Sun, 11 Jan 2026 21:53:43 +0800 https://blog.qife122.com/p/ash%E6%A1%86%E6%9E%B6%E6%8E%88%E6%9D%83%E6%BC%8F%E6%B4%9Ecve-2025-48042%E7%89%B9%E5%AE%9A%E5%9C%BA%E6%99%AF%E4%B8%8B%E6%9C%AA%E6%8E%88%E6%9D%83%E4%BB%8D%E5%8F%AF%E8%83%BD%E8%A7%A6%E5%8F%91%E9%92%A9%E5%AD%90%E5%87%BD%E6%95%B0/ <h1 id="cve-2025-48042ash框架中的授权绕过漏洞分析">CVE-2025-48042:Ash框架中的授权绕过漏洞分析</h1> <h2 id="概述">概述</h2> <p>国家漏洞数据库(NVD)发布的CVE-2025-48042记录了一个存在于ash-project/ash框架中的“不正确的授权”漏洞。该漏洞的CVSS 4.0基础评分为7.1(高危)。漏洞源于特定场景下授权检查的逻辑缺陷,可能允许恶意用户在未被授权执行完整操作的情况下,触发本应在事务前执行的钩子函数。</p> Ash框架高危漏洞CVE-2025-48042:未经授权即可触发前置钩子 https://blog.qife122.com/p/ash%E6%A1%86%E6%9E%B6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9Ecve-2025-48042%E6%9C%AA%E7%BB%8F%E6%8E%88%E6%9D%83%E5%8D%B3%E5%8F%AF%E8%A7%A6%E5%8F%91%E5%89%8D%E7%BD%AE%E9%92%A9%E5%AD%90/ Fri, 09 Jan 2026 18:36:27 +0800 https://blog.qife122.com/p/ash%E6%A1%86%E6%9E%B6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9Ecve-2025-48042%E6%9C%AA%E7%BB%8F%E6%8E%88%E6%9D%83%E5%8D%B3%E5%8F%AF%E8%A7%A6%E5%8F%91%E5%89%8D%E7%BD%AE%E9%92%A9%E5%AD%90/ <h1 id="cve-2025-48042ash框架授权前钩子执行漏洞分析">CVE-2025-48042:Ash框架授权前钩子执行漏洞分析</h1> <h2 id="漏洞摘要">漏洞摘要</h2> <p>在特定场景下,即使请求因权限不足而被禁止,Ash框架中的某些批量操作调用仍会在检查授权并返回“禁止”错误之前,执行<code>before_transaction</code>钩子。</p> Ash框架高危漏洞:授权检查前执行Hook导致的安全风险 https://blog.qife122.com/p/ash%E6%A1%86%E6%9E%B6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E6%8E%88%E6%9D%83%E6%A3%80%E6%9F%A5%E5%89%8D%E6%89%A7%E8%A1%8Chook%E5%AF%BC%E8%87%B4%E7%9A%84%E5%AE%89%E5%85%A8%E9%A3%8E%E9%99%A9/ Mon, 05 Jan 2026 20:28:54 +0800 https://blog.qife122.com/p/ash%E6%A1%86%E6%9E%B6%E9%AB%98%E5%8D%B1%E6%BC%8F%E6%B4%9E%E6%8E%88%E6%9D%83%E6%A3%80%E6%9F%A5%E5%89%8D%E6%89%A7%E8%A1%8Chook%E5%AF%BC%E8%87%B4%E7%9A%84%E5%AE%89%E5%85%A8%E9%A3%8E%E9%99%A9/ <h1 id="cve-2025-48042ash框架中某些情况下请求被禁止前仍可能执行hook">CVE-2025-48042:Ash框架中某些情况下请求被禁止前仍可能执行Hook</h1> <p><strong>概述</strong> 在某些包含<code>before_transaction</code>钩子但不包含<code>after_transaction</code>钩子的批量操作调用中,当作为批量操作调用时,<code>before_transaction</code>钩子会在授权检查之前被调用,然后返回“禁止”错误。</p> Ash框架CVE-2025-48042安全漏洞详解:授权绕过导致钩子函数异常执行 https://blog.qife122.com/p/ash%E6%A1%86%E6%9E%B6cve-2025-48042%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3%E6%8E%88%E6%9D%83%E7%BB%95%E8%BF%87%E5%AF%BC%E8%87%B4%E9%92%A9%E5%AD%90%E5%87%BD%E6%95%B0%E5%BC%82%E5%B8%B8%E6%89%A7%E8%A1%8C/ Wed, 10 Dec 2025 01:37:00 +0800 https://blog.qife122.com/p/ash%E6%A1%86%E6%9E%B6cve-2025-48042%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E8%AF%A6%E8%A7%A3%E6%8E%88%E6%9D%83%E7%BB%95%E8%BF%87%E5%AF%BC%E8%87%B4%E9%92%A9%E5%AD%90%E5%87%BD%E6%95%B0%E5%BC%82%E5%B8%B8%E6%89%A7%E8%A1%8C/ <h3 id="概述"><strong>概述</strong></h3> <p>CVE-2025-48042 是 Ash(一个 Erlang 框架)中的一个安全漏洞。在特定场景下,当请求被禁止时,Ash 的钩子仍可能执行。</p> <h3 id="漏洞详情"><strong>漏洞详情</strong></h3> <p><strong>摘要</strong> 某些带有 <code>before_transaction</code> 钩子但<strong>没有</strong> <code>after_transaction</code> 钩子的批量操作调用,在以批量操作方式调用时,会在授权检查之前、并返回“禁止”错误之前,调用 <code>before_transaction</code> 钩子。</p> Ash框架CVE-2025-48042漏洞:在请求被禁止前可能执行hook的授权绕过风险 https://blog.qife122.com/p/ash%E6%A1%86%E6%9E%B6cve-2025-48042%E6%BC%8F%E6%B4%9E%E5%9C%A8%E8%AF%B7%E6%B1%82%E8%A2%AB%E7%A6%81%E6%AD%A2%E5%89%8D%E5%8F%AF%E8%83%BD%E6%89%A7%E8%A1%8Chook%E7%9A%84%E6%8E%88%E6%9D%83%E7%BB%95%E8%BF%87%E9%A3%8E%E9%99%A9/ Wed, 03 Dec 2025 18:16:06 +0800 https://blog.qife122.com/p/ash%E6%A1%86%E6%9E%B6cve-2025-48042%E6%BC%8F%E6%B4%9E%E5%9C%A8%E8%AF%B7%E6%B1%82%E8%A2%AB%E7%A6%81%E6%AD%A2%E5%89%8D%E5%8F%AF%E8%83%BD%E6%89%A7%E8%A1%8Chook%E7%9A%84%E6%8E%88%E6%9D%83%E7%BB%95%E8%BF%87%E9%A3%8E%E9%99%A9/ <h1 id="cve-2025-48042ash框架中的授权绕过漏洞">CVE-2025-48042:Ash框架中的授权绕过漏洞</h1> <h2 id="摘要">摘要</h2> <p>在特定情况下,即使请求被禁止,Ash框架的钩子仍可能执行。</p> <h3 id="漏洞详情">漏洞详情</h3> <p>该漏洞影响了Erlang包中的<code>ash</code>框架。受影响的版本为小于等于3.5.38的版本,已修复的版本为3.5.39。</p> Ash框架授权漏洞分析:CVE-2025-48042技术详解 https://blog.qife122.com/p/ash%E6%A1%86%E6%9E%B6%E6%8E%88%E6%9D%83%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90cve-2025-48042%E6%8A%80%E6%9C%AF%E8%AF%A6%E8%A7%A3/ Sun, 26 Oct 2025 12:25:21 +0800 https://blog.qife122.com/p/ash%E6%A1%86%E6%9E%B6%E6%8E%88%E6%9D%83%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90cve-2025-48042%E6%8A%80%E6%9C%AF%E8%AF%A6%E8%A7%A3/ <h1 id="cve-2025-48042ash框架授权绕过漏洞技术分析">CVE-2025-48042:Ash框架授权绕过漏洞技术分析</h1> <h2 id="漏洞概述">漏洞概述</h2> <p><strong>CVE-2025-48042</strong> 是Ash框架(Erlang语言)中发现的一个高严重性安全漏洞。该漏洞存在于Ash框架的批量操作机制中,涉及授权检查与事务钩子执行顺序问题。</p>