Erlang/OTP CVE-2025-32433 (CVSS 10):严重 SSH 漏洞导致未经身份验证的 RCE

admin 2025年4月23日01:32:19评论17 views字数 894阅读2分58秒阅读模式

Erlang/OTP CVE-2025-32433 (CVSS 10):严重 SSH 漏洞导致未经身份验证的 RCE

Erlang/OTP 的 SSH 服务器组件中发现了一个严重漏洞,该技术广泛应用于电信、分布式系统和实时平台。该漏洞编号为 CVE-2025-32433,CVSS 评分为 10,这是最高严重等级,因为它易于利用且影响巨大。

对于不熟悉  Erlang 的人来说,它是一款强大的编程语言和运行时系统,旨在构建高度可扩展、容错和软实时的系统。OTP(开放电信平台)是一套 Erlang  库,包含 Erlang 运行时系统和众多现成的组件。这些技术是许多需要高可用性和可靠性的应用程序的基础。

漏洞允许在运行 Erlang/OTP SSH 服务器的任何主机上执行未经身份验证的远程代码执行 (RCE),从而使攻击者无需有效凭证即可完全控制受影响的系统。

爱立信官方安全公告指出 :“ Erlang/OTP SSH 服务器中发现一个严重漏洞,可能允许攻击者执行未经身份验证的远程代码执行  通过利用 SSH 协议消息处理中的缺陷,恶意行为者可以未经授权访问受影响的系统,并在没有有效凭证的情况下执行任意命令 。”

Erlang/OTP 团队已发出警告:“ 所有运行 Erlang/OTP SSH 服务器的用户都会受到此漏洞的影响,无论底层 Erlang/OTP 版本如何。如果您的应用程序使用 Erlang/OTP SSH 库提供 SSH 访问,则假设您已受到影响 。”

Erlang/OTP 团队向波鸿鲁尔大学的 Fabian Bäumer、Marcel Maehren、Marcus Brinkmann 和 Jörg Schwenk 表示感谢,感谢他们负责任地披露此漏洞 

爱立信提供了明确的缓解策略:

  • 立即更新: 最关键的操作是更新到修补版本:OTP-27.3.3(针对 OTP-27)、OTP-26.2.5.11(针对 OTP-26)或 OTP-25.3.2.20(针对 OTP-25)。
  • 临时解决方法: “ 在升级到修复版本之前,我们建议禁用 SSH 服务器或阻止通过防火墙规则访问 。”如果无法立即更新,则应实施这些临时措施以最大限度地降低风险。

原文始发于微信公众号(独眼情报):Erlang/OTP CVE-2025-32433 (CVSS 10):严重 SSH 漏洞导致未经身份验证的 RCE

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月23日01:32:19
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Erlang/OTP CVE-2025-32433 (CVSS 10):严重 SSH 漏洞导致未经身份验证的 RCEhttp://cn-sec.com/archives/3969430.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息