CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2025-32433

Erlang/OTP SSH — nieuwierzytelniony RCE (CVSS 10.0)

CVSS 10.0v3.1pub. 2025-04-16upd. 2025-11-04

Krytyczna podatność w serwerze SSH biblioteki Erlang/OTP umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu (RCE) bez podania jakichkolwiek poświadczeń. Podatność otrzymała maksymalny wynik CVSS 10.0 i jest aktywnie wykorzystywana w atakach.

Pokaż oryginał (EN)

Erlang/OTP is a set of libraries for the Erlang programming language. Prior to versions OTP-27.3.3, OTP-26.2.5.11, and OTP-25.3.2.20, a SSH server may allow an attacker to perform unauthenticated remote code execution (RCE). By exploiting a flaw in SSH protocol message handling, a malicious actor could gain unauthorized access to affected systems and execute arbitrary commands without valid credentials. This issue is patched in versions OTP-27.3.3, OTP-26.2.5.11, and OTP-25.3.2.20. A temporary workaround involves disabling the SSH server or to prevent access via firewall rules.

🤖 Analiza AI
Jak działa

Błąd wynika z nieprawidłowej obsługi komunikatów protokołu SSH (CWE-306 — brak wymaganego uwierzytelnienia dla funkcji krytycznych). Atakujący może wysłać spreparowane wiadomości protokołu SSH do podatnego serwera, omijając w ten sposób mechanizmy uwierzytelniania. W efekcie możliwe jest wykonanie dowolnych poleceń systemowych w kontekście procesu serwera SSH bez posiadania ważnych danych logowania.

Skutki

Atakujący uzyskuje pełną, nieuwierzytelnioną kontrolę nad podatnym systemem, mogąc wykonywać dowolne polecenia, odczytywać i modyfikować dane oraz potencjalnie przejąć kontrolę nad całą infrastrukturą opartą na Erlang/OTP. Podatność ma zasięg wykraczający poza środowisko bezpośrednio zaatakowane (CVSS Scope: Changed).

Mitygacja

Należy niezwłocznie zaktualizować Erlang/OTP do wersji OTP-27.3.3, OTP-26.2.5.11 lub OTP-25.3.2.20. Jako tymczasowe obejście (workaround) do czasu wdrożenia patcha należy wyłączyć serwer SSH oparty na Erlang/OTP lub zablokować dostęp do niego za pomocą reguł firewall. Użytkownicy produktów Cisco powinni śledzić rekomendacje producenta dotyczące dostępności poprawek dla poszczególnych platform.

Kogo dotyczy

Erlang/OTP we wszystkich wersjach przed OTP-27.3.3, OTP-26.2.5.11 oraz OTP-25.3.2.20, gdy uruchomiony jest serwer SSH z biblioteki OTP. Podatność dotyczy m.in. urządzeń Cisco: Inode Manager, NCS 1001, NCS 1004, RV340W Firmware, Ultra Packet Core.

Uwagi

Podatność została opublikowana 16 kwietnia 2025 r. i jest umieszczona w katalogu CISA KEV jako aktywnie exploitowana. Poprawki dostępne są w repozytoriach GitHub projektu Erlang/OTP (commity: 0fcd9c5, 6eef041, b1924d3).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Cisco Cloud Native Broadband Network Gateway

    APP
    Cisco
    < 2025.03.1
  • Cisco Confd Basic

    APP
    Cisco
    8.2 – 8.2.11.1 (bez)< 7.7.19.18.0.18 – 8.1.16.2 (bez)8.3 – 8.3.8.1 (bez)8.4 – 8.4.4.1 (bez)
  • Cisco Enterprise Nfv Infrastructure Software

    APP
    Cisco
    < 4.18
  • Cisco Inode Manager

    APP
    Cisco
    wszystkie wersje
  • Cisco Ncs 1001

    HW
    Cisco
    wszystkie wersje
  • Cisco Ncs 1002

    HW
    Cisco
    wszystkie wersje
  • Cisco Ncs 1004

    HW
    Cisco
    wszystkie wersje
  • Cisco Ncs 2000 Shelf Virtualization Orchestrator Firmware

    OS
    Cisco
    < 25.1.1
  • Cisco Ncs 2000 Shelf Virtualization Orchestrator Module

    HW
    Cisco
    wszystkie wersje
  • Cisco Network Services Orchestrator

    APP
    Cisco
    6.4.2 – 6.4.4.1 (bez)6.2 – 6.2.11.1 (bez)5.8 – 6.1.16.2 (bez)< 5.7.19.16.3 – 6.3.8.1 (bez)6.4 – 6.4.1.1 (bez)
  • Cisco Optical Site Manager

    APP
    Cisco
    < 25.2.1
  • Cisco Rv160

    HW
    Cisco
    wszystkie wersje
  • Cisco Rv160 Firmware

    OS
    Cisco
    wszystkie wersje
  • Cisco Rv160w

    HW
    Cisco
    wszystkie wersje
  • Cisco Rv160w Firmware

    OS
    Cisco
    wszystkie wersje
  • Cisco Rv260

    HW
    Cisco
    wszystkie wersje
  • Cisco Rv260 Firmware

    OS
    Cisco
    wszystkie wersje
  • Cisco Rv260p

    HW
    Cisco
    wszystkie wersje
  • Cisco Rv260p Firmware

    OS
    Cisco
    wszystkie wersje
  • Cisco Rv260w

    HW
    Cisco
    wszystkie wersje
  • Cisco Rv260w Firmware

    OS
    Cisco
    wszystkie wersje
  • Cisco Rv340

    HW
    Cisco
    wszystkie wersje
  • Cisco Rv340 Firmware

    OS
    Cisco
    wszystkie wersje
  • Cisco Rv340w

    HW
    Cisco
    wszystkie wersje
  • Cisco Rv340w Firmware

    OS
    Cisco
    wszystkie wersje
  • Cisco Rv345

    HW
    Cisco
    wszystkie wersje
  • Cisco Rv345 Firmware

    OS
    Cisco
    wszystkie wersje
  • Cisco Rv345p

    HW
    Cisco
    wszystkie wersje
  • Cisco Rv345p Firmware

    OS
    Cisco
    wszystkie wersje
  • Cisco Smart Phy

    APP
    Cisco
    < 25.2

CISA KEV — szczegółyi

Dostawcai
Erlang
Produkti
Erlang/OTP
Data dodania do KEVi
9 czerwca 2025
Termin remediation (USA)i
30 czerwca 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług w chmurze lub zaprzestań korzystania z produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Serwer SSH Erlang/OTP zawiera lukę dotyczącą braku uwierzytelniania dla krytycznej funkcji. Mogłoby to pozwolić atakującemu na wykonanie arbitralnych poleceń bez ważnych poświadczeń, potencjalnie prowadząc do niezawierzytelnionego RCE. Eksploatując wadę w sposobie obsługi komunikatów protokołu SSH, złośliwy aktor mógłby uzyskać nieautoryzowany dostęp do zagrożonych systemów. Ta luka może dotyczyć różnych produktów implementujących serwer SSH Erlang/OTP, w tym — między innymi — produkty firmy Cisco, NetApp i SUSE.

tłumaczenie AI
Pokaż oryginał (EN)

Erlang Erlang/OTP SSH server contains a missing authentication for critical function vulnerability. This could allow an attacker to execute arbitrary commands without valid credentials, potentially leading to unauthenticated remote code execution (RCE). By exploiting a flaw in how SSH protocol messages are handled, a malicious actor could gain unauthorized access to affected systems. This vulnerability could affect various products that implement Erlang/OTP SSH server, including—but not limited to—Cisco, NetApp, and SUSE.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 30 czerwca 2025
Tagi
RCEFirewall
CWE
Referencje

Powiązane podatności

CVE-2026-24061CRITICAL9.8⚠ KEVPL ✓ten sam produkt

GNU Inetutils telnetd: ominięcie uwierzytelnienia przez zmienną USER

CVE-2025-32463CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Sudo: eskalacja uprawnień do root poprzez opcję --chroot (CVE-2025-32463)

CVE-2025-49113CRITICAL9.9⚠ KEVPL ✓ten sam produkt

RCE przez deserializację PHP w Roundcube Webmail (parametr _from)

CVE-2025-24201CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple WebKit: out-of-bounds write umożliwiający ucieczkę z sandbox przeglądarki

CVE-2025-24813CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apache Tomcat: Path Equivalence prowadzący do RCE i ujawnienia danych