一、 漏洞 CVE-2025-46712 基础信息
漏洞信息
# Erlang/OTP SSH存在严格的密钥交换违规问题
## 漏洞概述
Erlang/OTP是一组用于Erlang编程语言的库。在某些版本中,Erlang/OTP的SSH组件未能实施严格的KEX握手加固措施,允许交换可选的消息。这使得中间人攻击者能够在握手期间注入这些消息。
## 影响版本
- OTP-27版本:小于OTP-27.3.4
- OTP-26版本:小于OTP-26.2.5.12
- OTP-25版本:小于OTP-25.3.2.21
## 细节
Erlang/OTP的SSH组件未能防止可选消息的交换,允许中间人攻击者在握手期间注入这些消息。修复补丁已发布于以下版本:
- OTP-27版本:OTP-27.3.4
- OTP-26版本:OTP-26.2.5.12
- OTP-25版本:OTP-25.3.2.21
## 影响
该漏洞可能导致中间人攻击者通过在SSH握手期间注入消息,干扰正常连接,进而可能导致数据泄露或会话劫持。建议用户更新到上述受影响版本的修补版本以避免风险。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Erlang/OTP SSH Has Strict KEX Violations
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Erlang/OTP is a set of libraries for the Erlang programming language. In versions prior to OTP-27.3.4 (for OTP-27), OTP-26.2.5.12 (for OTP-26), and OTP-25.3.2.21 (for OTP-25), Erlang/OTP SSH fails to enforce strict KEX handshake hardening measures by allowing optional messages to be exchanged. This allows a Man-in-the-Middle attacker to inject these messages in a connection during the handshake. This issue has been patched in versions OTP-27.3.4 (for OTP-27), OTP-26.2.5.12 (for OTP-26), and OTP-25.3.2.21 (for OTP-25).
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
预期行为违背
来源:美国国家漏洞数据库 NVD
漏洞标题
Erlang/OTP 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Erlang/OTP是Erlang/OTP开源的一个JavaScript编写的处理处理异常的库。该库可以捕捉node.js内置API引发的异常。 Erlang/OTP存在安全漏洞,该漏洞源于SSH未严格实施KEX握手措施,可能导致中间人攻击。以下版本受到影响:OTP-27.3.4之前版本、OTP-26.2.5.12之前版本和OTP-25.3.2.21之前版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-46712 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-46712 的情报信息
-
-
-
-
标题: Strict KEX Violations in Erlang/OTP SSH · Advisory · erlang/otp · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2025-46712