Erlang/OTP CVE-2025-32433 (CVSS 10)：严重 SSH 漏洞导致未经身份验证的 RCE

Erlang/OTP 的 SSH 服务器组件中发现了一个严重漏洞，该技术广泛应用于电信、分布式系统和实时平台。该漏洞编号为 CVE-2025-32433，CVSS 评分为 10，这是最高严重等级，因为它易于利用且影响巨大。

对于不熟悉  Erlang 的人来说，它是一款强大的编程语言和运行时系统，旨在构建高度可扩展、容错和软实时的系统。OTP（开放电信平台）是一套 Erlang  库，包含 Erlang 运行时系统和众多现成的组件。这些技术是许多需要高可用性和可靠性的应用程序的基础。

该漏洞允许在运行 Erlang/OTP SSH 服务器的任何主机上执行未经身份验证的远程代码执行 (RCE)，从而使攻击者无需有效凭证即可完全控制受影响的系统。

爱立信官方安全公告指出 ：“ Erlang/OTP SSH 服务器中发现一个严重漏洞，可能允许攻击者执行未经身份验证的远程代码执行 。 通过利用 SSH 协议消息处理中的缺陷，恶意行为者可以未经授权访问受影响的系统，并在没有有效凭证的情况下执行任意命令 。”

Erlang/OTP 团队已发出警告：“ 所有运行 Erlang/OTP SSH 服务器的用户都会受到此漏洞的影响，无论底层 Erlang/OTP 版本如何。如果您的应用程序使用 Erlang/OTP SSH 库提供 SSH 访问，则假设您已受到影响 。”

Erlang/OTP 团队向波鸿鲁尔大学的 Fabian Bäumer、Marcel Maehren、Marcus Brinkmann 和 Jörg Schwenk 表示感谢，感谢他们负责任地披露此漏洞 。

爱立信提供了明确的缓解策略：

• 立即更新： 最关键的操作是更新到修补版本：OTP-27.3.3（针对 OTP-27）、OTP-26.2.5.11（针对 OTP-26）或 OTP-25.3.2.20（针对 OTP-25）。
• 临时解决方法： “ 在升级到修复版本之前，我们建议禁用 SSH 服务器或阻止通过防火墙规则访问 。”如果无法立即更新，则应实施这些临时措施以最大限度地降低风险。

原文始发于微信公众号（独眼情报）：Erlang/OTP CVE-2025-32433 (CVSS 10)：严重 SSH 漏洞导致未经身份验证的 RCE