Erlang/OTP SSH曝严重漏洞,无需认证可远程执行代码
Erlang/OTP 的 SSH 实现曝出严重安全漏洞(CVE-2025-32433),CVSS 评分为最高的 10.0。该漏洞允许攻击者在特定条件下,无需身份验证即可远程执行任意代码。漏洞源于对 SSH 协议消息处理不当,使得攻击者能在认证前发送连接协议消息。倘若 SSH 守护进程以 root 权限运行,攻击者甚至能完全控制设备,进而窃取数据或导致服务中断。使用该库的服务器(如思科、爱立信设备)均面临风险。
建议用户尽快更新至 OTP-27.3.3、OTP-26.2.5.11 或 OTP-25.3.2.20 等修复版本。此外,也可通过防火墙规则限制访问作为临时缓解措施。
The Hacker News (https://thehackernews.com/2025/04/critical-erlangotp-ssh-vulnerability.html) 感谢分享 感谢分享 谢谢分享 感谢分享
页:
[1]