Elixir on 办公AI智能小助手

AshPostgres 空更新操作策略绕过漏洞深度解析

Tue, 13 Jan 2026 12:15:21 +0800

CVE-2024-49756：AshPostgres 空原子非批量操作策略绕过漏洞

漏洞概述

在 AshPostgres 中，存在一个与空、原子、非批量操作相关的策略绕过漏洞，该漏洞可能导致副作用被意外执行。

严重程度：中等 GitHub 状态：已审核 发布时间：2024年10月23日 更新日期：2025年4月14日

Ash Framework 过滤器授权漏洞：不可绕过策略的错误处理与安全修复

Tue, 13 Jan 2026 07:24:45 +0800

漏洞概述

标识符: CVE-2025-48043 (GHSA-7r7f-9xpj-jmr7)
严重性: 高危 (CVSS 4.0 评分: 8.6)
影响组件: Ash Framework (ash Erlang包)
受影响版本: < 3.6.2
已修复版本: 3.6.2

漏洞描述

当使用基于过滤器的授权机制时，两个边界情况可能导致策略编译器/授权器生成过于宽松（允许通过）的过滤器：

Ash身份验证库存在邮件链接自动点击账户确认漏洞分析

Tue, 13 Jan 2026 07:18:13 +0800

Ash身份验证库存在邮件链接自动点击账户确认漏洞（CVE-2025-32782）

漏洞描述

影响

账户创建流程中的确认环节当前使用通过邮件发送的链接触发的GET请求。某些邮件客户端和安全工具（例如Outlook、病毒扫描器和邮件预览器）可能会自动跟踪这些链接，从而无意中确认账户。这允许攻击者使用他人的电子邮件注册账户，并可能因受害者的邮件客户端而自动确认。

Ash Authentication 令牌撤销逻辑漏洞详解 (CVE-2025-25202)

Mon, 12 Jan 2026 19:57:11 +0800

Ash Authentication 存在有缺陷的令牌撤销检查逻辑（CVE-2025-25202）

摘要

影响使用新版 igniter 安装程序（自 AshAuthentication v4.1.0 起）引导的应用程序，并且使用了魔法链接策略、密码重置、确认功能或手动撤销令牌的应用程序会受到影响，即被撤销的令牌仍被允许验证为有效。如果您没有使用新的安装程序，则绝对不受影响。此外，除非您在应用程序中实现了任何类型的自定义令牌撤销功能（在这种情况下，即使是粗略的测试也会发现此问题），否则您不会受到显著影响。对用户的影响如下：

Ash框架授权漏洞CVE-2025-48042：特定场景下未授权仍可能触发钩子函数

Sun, 11 Jan 2026 21:53:43 +0800

CVE-2025-48042：Ash框架中的授权绕过漏洞分析

概述

国家漏洞数据库（NVD）发布的CVE-2025-48042记录了一个存在于ash-project/ash框架中的“不正确的授权”漏洞。该漏洞的CVSS 4.0基础评分为7.1（高危）。漏洞源于特定场景下授权检查的逻辑缺陷，可能允许恶意用户在未被授权执行完整操作的情况下，触发本应在事务前执行的钩子函数。

Phoenix 框架 Origin 检查通配符处理不当安全漏洞剖析

Sun, 11 Jan 2026 17:15:15 +0800

Phoenix before 1.6.14 mishandles check_origin wildcarding · CVE-2022-42975 · GitHub Advisory Database

概述

Phoenix 框架在 1.6.14 版本之前的 socket/transport.ex 文件中，未能正确处理 check_origin 配置中的通配符。

注意：基于 LiveView 的应用程序默认不受此问题影响，因为它们使用了 LiveView 的 CSRF 令牌进行防护。

Ash Authentication Phoenix 会话过期缺陷安全通告

Sun, 11 Jan 2026 17:12:05 +0800

Ash Authentication Phoenix 存在“会话过期不充分”漏洞 · CVE-2025-4754

漏洞概述 Erlang 包 ash_authentication_phoenix（版本 <= 2.9.0）中存在一个“会话过期不充分”的漏洞，已被分配 CVE 编号 CVE-2025-4754 和 GHSA ID GHSA-f7gq-h8jv-h3cq。该漏洞的严重等级被评估为低危，CVSS v4 总体评分为 2.3。

Ash框架授权漏洞：调用钩子顺序异常导致的安全风险解析

Sun, 04 Jan 2026 01:55:12 +0800

安全漏洞技术分析：CVE-2025-48042

漏洞概述

CVE-2025-48042是一个存在于ash-project的Ash框架中的授权绕过类漏洞，被归类为"不正确的授权"（CWE-863）。该漏洞影响版本为3.5.38及以下的所有Ash框架，已通过版本3.5.39修复。

Phoenix框架安全漏洞分析：CVE-2022-42975的check_origin通配符处理问题

Thu, 01 Jan 2026 08:42:23 +0800

漏洞概述

CVE-2022-42975 是一个影响Phoenix框架的高严重性安全漏洞。该漏洞存在于Phoenix 1.6.14之前的版本中，具体问题位于socket/transport.ex文件内对check_origin配置项的通配符处理逻辑。

Ash框架绕过策略漏洞深度解析：CVE-2025-48044授权绕过技术细节

Tue, 30 Dec 2025 07:20:50 +0800

漏洞概述

CVE-2025-48044 是Ash框架中的一个高严重性漏洞（CVSS评分为8.6），涉及授权绕过问题。Ash是一个用Elixir编写的声明式资源框架，用于构建可扩展的应用程序。

深入解析CVE-2025-25202：Ash Authentication令牌撤销逻辑缺陷漏洞

Sat, 13 Dec 2025 10:46:51 +0800

漏洞概述

CVE-2025-25202是Ash Authentication身份验证库中存在的一个安全漏洞[citation:1]。Ash Authentication是一个用于Elixir应用程序的身份验证框架[citation:1]。

AshPostgres 空更新操作策略绕过漏洞深度解析

Tue, 09 Dec 2025 02:11:55 +0800

CVE-2024-49756：AshPostgres 中的空原子更新操作策略绕过漏洞

概述

在 AshPostgres 中存在一个漏洞，该漏洞允许在特定情况下绕过更新操作的安全策略，从而执行本应被阻止的副作用（Side-effects）。

Ash Authentication Phoenix 会话失效不充分漏洞解析

Mon, 08 Dec 2025 18:20:46 +0800

Ash Authentication Phoenix 会话失效不充分漏洞解析

CVE-2025-4754 漏洞概述

ash_authentication_phoenix 库中存在一个会话失效不充分的安全漏洞。具体而言，即使用户主动登出，其会话令牌在服务器端仍然保持有效状态。

AshPostgres 策略绕过漏洞深度解析：空更新操作中的副作用风险

Wed, 03 Dec 2025 10:20:29 +0800

AshPostgres 空原子非批量操作中的策略绕过漏洞 (CVE-2024-49756)

漏洞概述

此漏洞存在于 AshPostgres 中，涉及在特定情况下可能跳过更新操作的策略检查。这仅发生在“空”更新操作（没有更改任何字段）中，并会允许其钩子（副作用）在不应该执行时被执行。需要注意的是，这不会允许读取用户不应有权访问的新数据，只会触发用户本不应能够触发的副作用。

AshPostgres 安全漏洞：策略绕过与空更新操作风险分析

Wed, 03 Dec 2025 10:05:20 +0800

AshPostgres 安全漏洞：策略绕过与空更新操作风险分析

漏洞概述

在 AshPostgres 中，存在一个涉及空、原子性、非批量操作以及策略绕过的副作用漏洞。该漏洞被标识为 CVE-2024-49756，已收录于 GitHub 安全公告数据库。

AshPostgres策略绕过漏洞分析：空原子操作中的安全风险

Wed, 26 Nov 2025 19:41:25 +0800

CVE-2024-49756：AshPostgres空原子操作策略绕过漏洞

漏洞概述

在AshPostgres特定场景下，存在策略绕过漏洞，允许跳过更新操作的政策检查。该漏洞仅影响"空"更新操作（无字段变更），会导致本应受限的钩子（副作用）在不应执行时被执行。

AshPostgres策略绕过漏洞分析：空原子更新操作的安全风险

Fri, 07 Nov 2025 10:46:58 +0800

CVE-2024-49756：AshPostgres空原子非批量操作策略绕过漏洞

漏洞概述

在AshPostgres中，存在一个策略绕过漏洞，允许在特定情况下跳过更新操作的政策检查。该漏洞仅在"空"更新操作（无更改字段）时发生，会导致其钩子（副作用）在不应执行时被执行。