Erlang/OTP 严重 SSH 漏洞允许未认证的远程代码执行(CVE-2025-32433)

admin 2025年4月23日00:48:58评论6 views字数 1070阅读3分34秒阅读模式

↑点击关注,获取更多漏洞预警,技术分享

0x01 组件介绍

      Erlang 它是一款强大的编程语言和运行时系统,旨在构建高度可扩展、容错和软实时的系统。OTP 是一套 Erlang  库,包含 Erlang 运行时系统和众多现成的组件。

搜索语法(昨天有文章被投诉了,不知道是因为这个):app="Erlang"

0x02 漏洞描述

        近日,互联网上揭露了在Erlang/OTP SSH 服务器中识别出一个严重漏洞,该漏洞可能允许攻击者执行未经身份验证的远程代码执行(RCE)。通过利用 SSH 协议消息处理的漏洞,恶意行为者可能获得对受影响系统的未授权访问,并执行任意命令而无需有效凭证。所有运行 Erlang/OTP SSH 服务器的人都受到此漏洞的影响,无论其底层 Erlang/OTP 版本如何。如果你的应用程序使用 Erlang/OTP SSH 库提供 SSH 访问,请假设你受到影响。

漏洞分类
远程代码执行
CVSS 3.1分数
10.0
漏洞等级
严重
POC/EXP
未公开
可利用性
未知
0x03 影响版本、

<= OTP-27.3.2

<= OTP-26.2.5.10

<= OTP-25.3.2.19

0x04 漏洞验证

目前POC/EXP目前尚未公开,后续若公开为及时更新到本文章

0x05 漏洞影响

由于该漏洞影响范围较广,危害较大。企业应该尽快排查是否有使用该组件,并尽快做出对应措施

0x06 修复建议

1.立即更新更新到修补版本

官方下载地址:https://github.com/erlang/otp/releases

OTP-27.3.3(针对 OTP-27)

OTP-26.2.5.11(针对 OTP-26)

OTP-25.3.2.20(针对 OTP-25)

2.临时解决方法:

 若无法及时升级,建议禁用 SSH 服务器或阻止通过防火墙规则访问 

0X07 参考链接

https://github.com/erlang/otp/security/advisories/GHSA-37cp-fgq5-7wc2

0x08 免责声明> 本文所涉及的任何技术、信息或工具,仅供学习和参考之用。> 请勿利用本文提供的信息从事任何违法活动或不当行为。任何因使用本文所提供的信息或工具而导致的损失、后果或不良影响,均由使用者个人承担责任,与本文作者无关。> 作者不对任何因使用本文信息或工具而产生的损失或后果承担任何责任。使用本文所提供的信息或工具即视为同意本免责声明,并承诺遵守相关法律法规和道德规范。

原文始发于微信公众号(安全探索者):【漏洞预警】Erlang/OTP 严重 SSH 漏洞允许未认证的远程代码执行(CVE-2025-32433)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年4月23日00:48:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Erlang/OTP 严重 SSH 漏洞允许未认证的远程代码执行(CVE-2025-32433)https://cn-sec.com/archives/3970510.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息