Erlang/OTP SSH Vulnerable to Pre-Authentication RCE 漏洞信息(CVE-2025-32433)

一、漏洞 CVE-2025-32433 基础信息

漏洞信息

# 易受预身份验证RCE影响的Erlang/OTP SSH

## 漏洞概述

Erlang/OTP 是一组用于 Erlang 编程语言的库。在某些版本中，SSH 服务器允许未经认证的远程代码执行（RCE）。

## 影响版本

- OTP-27.3.3 之前的所有版本
- OTP-26.2.5.11 之前的所有版本
- OTP-25.3.2.20 之前的所有版本

## 漏洞细节

通过利用 SSH 协议消息处理中的漏洞，恶意行为者可以在无需有效凭据的情况下获取对受影响系统的未经授权的访问并执行任意命令。

## 影响

攻击者可以进行未经认证的远程代码执行（RCE），从而导致系统受损。此问题已在版本 OTP-27.3.3、OTP-26.2.5.11 和 OTP-25.3.2.20 中修复。

## 临时解决方法

禁用 SSH 服务器或使用防火墙规则阻止访问。

备注

尽管我们采用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确，但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利！

漏洞标题

Erlang/OTP SSH Vulnerable to Pre-Authentication RCE

来源：美国国家漏洞数据库 NVD

漏洞描述信息

Erlang/OTP is a set of libraries for the Erlang programming language. Prior to versions OTP-27.3.3, OTP-26.2.5.11, and OTP-25.3.2.20, a SSH server may allow an attacker to perform unauthenticated remote code execution (RCE). By exploiting a flaw in SSH protocol message handling, a malicious actor could gain unauthorized access to affected systems and execute arbitrary commands without valid credentials. This issue is patched in versions OTP-27.3.3, OTP-26.2.5.11, and OTP-25.3.2.20. A temporary workaround involves disabling the SSH server or to prevent access via firewall rules.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

来源：美国国家漏洞数据库 NVD

漏洞类别

关键功能的认证机制缺失

来源：美国国家漏洞数据库 NVD

漏洞标题

Erlang/OTP 访问控制错误漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Erlang/OTP是Erlang/OTP开源的一个JavaScript编写的处理处理异常的库。该库可以捕捉node.js内置API引发的异常。 Erlang/OTP 27.3.3之前版本存在访问控制错误漏洞，该漏洞源于SSH协议消息处理缺陷，可能导致远程代码执行。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

授权问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2025-32433 的公开POC

#	POC 描述	源链接	神龙链接
1		https://github.com/vulhub/vulhub/blob/master/erlang/CVE-2025-32433/README.md	POC详情
2	Erlang/OTP is a set of libraries for the Erlang programming language. Prior to versions OTP-27.3.3, OTP-26.2.5.11, and OTP-25.3.2.20, a SSH server may allow an attacker to perform unauthenticated remote code execution (RCE). By exploiting a flaw in SSH protocol message handling, a malicious actor could gain unauthorized access to affected systems and execute arbitrary commands without valid credentials.	https://github.com/projectdiscovery/nuclei-templates/blob/main/code/cves/2025/CVE-2025-32433.yaml	POC详情

三、漏洞 CVE-2025-32433 的情报信息

https://github.com/erlang/otp/security/advisories/GHSA-37cp-fgq5-7wc2 x_refsource_CONFIRM
https://github.com/erlang/otp/commit/0fcd9c56524b28615e8ece65fc0c3f66ef6e4c12 x_refsource_MISC
https://github.com/erlang/otp/commit/6eef04130afc8b0ccb63c9a0d8650209cf54892f x_refsource_MISC
https://github.com/erlang/otp/commit/b1924d37fd83c070055beb115d5d6a6a9490b891 x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2025-32433

一、 漏洞 CVE-2025-32433 基础信息

漏洞信息

备注

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2025-32433 的公开POC

三、漏洞 CVE-2025-32433 的情报信息

一、漏洞 CVE-2025-32433 基础信息