Erlang/OTP 远程代码执行漏洞

北京赛克艾威科技有限公司 2025-04-18

  • 漏洞编号:CVE-2025-32433
  • 漏洞等级:高危
  • 漏洞标签:暂无
  • 发布时间:2025-04-18

漏洞描述

Erlang/OTP 是 Erlang 编程语言的一组库。在版本 OTP\-27.3.3、OTP\-26.2.5.11 和 OTP\-25.3.2.20 之前,SSH 服务器可能存在允许攻击者执行未经身份验证的远程代码执行(RCE)漏洞。通过利用 SSH 协议消息处理中的一个缺陷,恶意攻击者可能在没有有效凭据的情况下获取对受影响系统的未经授权访问,并执行任意命令。此问题已在版本 OTP\-27.3.3、OTP\-26.2.5.11 和 OTP\-25.3.2.20 中修复。临时解决方案包括禁用 SSH 服务器或通过防火墙规则阻止访问。

修复建议

暂无

参考链接

https://github.com/erlang/otp/security/advisories/GHSA-37cp-fgq5-7wc2

https://github.com/erlang/otp/commit/6eef04130afc8b0ccb63c9a0d8650209cf54892f#diff-ceeb1aeeb602e1424c13d9da9383e0782f65869d6e64e015c194145b1a64edcd

https://stack.chaitin.com/vuldb/detail/3cc97ecd-0f9a-4f44-99e3-ae6acabf1412