Erlang/OTP SSH 未授权远程代码执行漏洞分析
National Vulnerability Database
CVE-2025-32433 详情
已接收 此 CVE 记录最近已发布到 CVE 列表,并已包含在 NVD 数据集中。
描述
Erlang/OTP 是用于 Erlang 编程语言的一组库。在 OTP-27.3.3、OTP-26.2.5.11 和 OTP-25.3.2.20 之前的版本中,SSH 服务器可能允许攻击者执行未经身份验证的远程代码执行(RCE)。通过利用 SSH 协议消息处理中的缺陷,恶意行为者可以获得对受影响系统的未经授权的访问权限,并在没有有效凭据的情况下执行任意命令。此问题已在 OTP-27.3.3、OTP-26.2.5.11 和 OTP-25.3.2.20 版本中得到修复。临时的解决方法包括禁用 SSH 服务器或通过防火墙规则阻止访问。
衡量标准
CVSS Version 4.0 CVSS Version 3.x CVSS Version 2.0 _ NVD 正在努力丰富参考公开可用的信息,以关联向量字符串。其他来源提供的 CVSS 信息也会显示。_
CVSS 4.0 严重性和向量字符串: 
NIST: NVD N/A NVD 评估尚未提供。
CVSS 3.x 严重性和向量字符串: NIST: NVD 基本分数: N/A NVD 评估尚未提供。 
CNA: GitHub, Inc. 基本分数: 10.0 CRITICAL 向量: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
CVSS 2.0 严重性和向量字符串: NIST: NVD 基本分数: N/A NVD 评估尚未提供。
咨询、解决方案和工具的参考
通过选择这些链接,您将离开 NIST 的网络空间。我们提供这些指向其他网站的链接,因为它们可能包含您感兴趣的信息。不应因为此页面引用或未引用其他站点而得出任何推论。可能还有其他网站更适合您的目的。NIST 不一定认可这些网站上表达的观点或同意其中呈现的事实。此外,NIST 不认可这些网站上可能提及的任何商业产品。请将有关此页面的意见发送至 nvd@nist.gov。
| 超链接 | 资源 | | ------------------------------------------------------------------------------------------------------------ | ------ | | http://www.openwall.com/lists/oss-security/2025/04/16/2 | | | https://github.com/erlang/otp/commit/0fcd9c56524b28615e8ece65fc0c3f66ef6e4c12 | | | https://github.com/erlang/otp/commit/6eef04130afc8b0ccb63c9a0d8650209cf54892f | | | https://github.com/erlang/otp/commit/b1924d37fd83c070055beb115d5d6a6a9490b891 | | | https://github.com/erlang/otp/security/advisories/GHSA-37cp-fgq5-7wc2 | |
弱点枚举
| CWE-ID | CWE 名称 | 来源 | | --------- | --------------------------------- | ------------ | | CWE-306 | 关键功能的身份验证缺失 | GitHub, Inc. |
变更历史
找到 2 条变更记录 显示变更
CVE 于 CVE 修改 4/16/2025 6:15:14 PM
| 操作 | 类型 | 旧值 | 新值 |
| ---- | ------ | ---------------------------------------------------- | ------------------------------------------------------------ |
| 添加 | 参考 | http://www.openwall.com/lists/oss-security/2025/04/16/2 | |
来自 GitHub, Inc. 的新 CVE 接收于 4/16/2025 6:15:14 PM
| 操作 | 类型 | 旧值 | 新值 |
| ---- | ------ | ------------------------------------------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| 添加 | 描述 | 记录已截断,显示 584 个字符中的 500 个。 查看完整更改记录 Erlang/OTP is a set of libraries for the Erlang programming language. Prior to versions OTP-27.3.3, OTP-26.2.5.11, and OTP-25.3.2.20, a SSH server may allow an attacker to perform unauthenticated remote code execution (RCE). By exploiting a flaw in SSH protocol message handling, a malicious actor could gain unauthorized access to affected systems and execute arbitrary commands without valid credentials. This issue is patched in versions OTP-27.3.3, OTP-26.2.5.11, and OTP-25.3.2.20. A temporary w | |
| 添加 | CVSS V3.1 | | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H | |
| 添加 | CWE | | CWE-306 | |
| 添加 | 参考 | | https://github.com/erlang/otp/commit/0fcd9c56524b28615e8ece65fc0c3f66ef6e4c12 | |
| 添加 | 参考 | | https://github.com/erlang/otp/commit/6eef04130afc8b0ccb63c9a0d8650209cf54892f | |
| 添加 | 参考 | | https://github.com/erlang/otp/commit/b1924d37fd83c070055beb115d5d6a6a9490b891 | |
| 添加 | 参考 | | https://github.com/erlang/otp/security/advisories/GHSA-37cp-fgq5-7wc2 | |
快速信息
CVE 字典条目: CVE-2025-32433 NVD 发布日期: 04/16/2025 NVD 上次修改: 04/16/2025 来源: GitHub, Inc.