一、 漏洞 CVE-2025-48038 基础信息
漏洞信息
                                        # 未验证文件句柄导致资源过度使用

## 概述

Erlang OTP 的 `ssh` 模块(涉及 `ssh_sftp` 组件)存在**无限制或未节流的资源分配**漏洞,可能导致**资源过度分配**和**资源泄漏暴露**。

## 影响版本

- **OTP 版本范围**:从 OTP 17.0 到 OTP 28.0.3、OTP 27.3.4.3 以及 OTP 26.2.5.15
- **对应的 ssh 版本范围**:从 3.0.1 到 5.3.3、5.2.11.3 和 5.1.4.12

## 漏洞细节

漏洞存在于 `lib/ssh/src/ssh_sftpd.erl` 文件中。当处理 SFTP 请求时,模块未对资源分配进行适当限制或节流,可能造成资源被过度申请或未正确释放。

## 影响

- 攻击者可利用该漏洞导致服务器资源耗尽(如内存、进程、连接等),从而影响系统稳定性和服务可用性。
- 可能暴露资源泄漏问题,进一步加剧系统性能下降或崩溃。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Unverified File Handles can Cause Excessive Use of System Resources
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Allocation of Resources Without Limits or Throttling vulnerability in Erlang OTP ssh (ssh_sftp modules) allows Excessive Allocation, Resource Leak Exposure. This vulnerability is associated with program files lib/ssh/src/ssh_sftpd.erl. This issue affects OTP form OTP 17.0 until OTP 28.0.3, OTP 27.3.4.3 and 26.2.5.15 corresponding to ssh from 3.0.1 until 5.3.3, 5.2.11.3 and 5.1.4.12.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
不加限制或调节的资源分配
来源:美国国家漏洞数据库 NVD
漏洞标题
Erlang/OTP 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Erlang/OTP是Erlang/OTP开源的一个JavaScript编写的处理处理异常的库。该库可以捕捉node.js内置API引发的异常。 Erlang/OTP 17.0版本至28.0.3版本、27.3.4.3版本和26.2.5.15版本存在安全漏洞,该漏洞源于lib/ssh/src/ssh_sftpd.erl中资源分配无限制或节流,可能导致资源过度分配和资源泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-48038 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-48038 的情报信息

  • 标题: SSH Unverified File Handles can Cause Excessive Use of System Resources · Advisory · erlang/otp · GitHub -- 🔗来源链接

    标签: vendor-advisory

    神龙速读
    SSH Unverified File Handles can Cause Excessive Use of System Resources · Advisory · erlang/otp · GitHub

  • 标题: Versions — Erlang System Documentation v28.0.1 -- 🔗来源链接

    标签: x_version-scheme

    神龙速读
    Versions — Erlang System Documentation v28.0.1

  • 标题: ssh: verify file handle size limit for client data by u3s · Pull Request #10156 · erlang/otp · GitHub -- 🔗来源链接

    标签: patch

    神龙速读
    ssh: verify file handle size limit for client data by u3s · Pull Request #10156 · erlang/otp · GitHub

  • 标题: ssh: verify file handle size limit for client data · erlang/otp@4e3bf86 · GitHub -- 🔗来源链接

    标签: patch

    神龙速读
    ssh: verify file handle size limit for client data · erlang/otp@4e3bf86 · GitHub

  • 标题: ssh: verify file handle size limit for client data · erlang/otp@f09e020 · GitHub -- 🔗来源链接

    标签: patch

    神龙速读
    ssh: verify file handle size limit for client data · erlang/otp@f09e020 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-48038
四、漏洞 CVE-2025-48038 的评论

暂无评论

发表评论