Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - CVE - CVE-2025-32433

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - CVE CVE-2025-32433
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

CVE-2025-32433

PUBLISHED 19.04.2025

CNA: GitHub_M

Erlang/OTP SSH Vulnerable to Pre-Authentication RCE

Обновлено: 16.04.2025
Erlang/OTP is a set of libraries for the Erlang programming language. Prior to versions OTP-27.3.3, OTP-26.2.5.11, and OTP-25.3.2.20, a SSH server may allow an attacker to perform unauthenticated remote code execution (RCE). By exploiting a flaw in SSH protocol message handling, a malicious actor could gain unauthorized access to affected systems and execute arbitrary commands without valid credentials. This issue is patched in versions OTP-27.3.3, OTP-26.2.5.11, and OTP-25.3.2.20. A temporary workaround involves disabling the SSH server or to prevent access via firewall rules.

CWE

Идентификатор Описание
CWE-306 Отсутствие аутентификации для критически важных функций

БДУ ФСТЭК

Идентификатор Описание
BDU:2025-04706 Уязвимость реализации протокола SSH из набора библиотек Erlang/OTP, связанная с отсутствием проверки подлинности для критически важной функции, позволяющая нарушителю выполнить произвольный код

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО
Идентификатор Дата бюллетеня Описание
VULN:20250425-11 25.04.2025 Выполнение произвольного кода в Erlang/OTP SSH server
VULN:20250512-22 12.05.2025 Выполнение произвольного кода в Cisco Products using Erlang/OTP SSH server

CVSS

Оценка Severity Версия Базовый вектор
10 CRITICAL 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Доп. Информация

Product Status

otp
Product: otp
Vendor: erlang
Default status: Не определен
Версии:
Затронутые версии Статус
Наблюдалось в версии >= OTP-27.0-rc1, < OTP-27.3.3 affected
Наблюдалось в версии >= OTP-26.0-rc1, < OTP-26.2.5.11 affected
Наблюдалось в версии < OTP-25.3.2.20 affected
 

Ссылки

https://github.com/erlang/otp/security/advisories/GHSA-37cp-fgq5-7wc2
https://github.com/erlang/otp/commit/0fcd9c56524b28615e8ece65fc0c3f66ef6e4c12
https://github.com/erlang/otp/commit/6eef04130afc8b0ccb63c9a0d8650209cf54892f
https://github.com/erlang/otp/commit/b1924d37fd83c070055beb115d5d6a6a9490b891

CVE Program Container

Обновлено: 19.04.2025
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.

Ссылки

http://www.openwall.com/lists/oss-security/2025/04/16/2
http://www.openwall.com/lists/oss-security/2025/04/18/1
http://www.openwall.com/lists/oss-security/2025/04/18/2
http://www.openwall.com/lists/oss-security/2025/04/18/6
http://www.openwall.com/lists/oss-security/2025/04/19/1

CISA ADP Vulnrichment

Обновлено: 18.04.2025
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
none yes total 2.0.3 17.04.2025
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.