一、 漏洞 CVE-2025-48039 基础信息
漏洞信息
                                        # 未验证路径可能导致系统资源过度使用

## 概述

Erlang OTP 的 `ssh_sftp` 模块中存在**无限制或未节流的资源分配漏洞**,可能导致**资源过度分配**和**资源泄露**。

## 影响版本

受影响版本包括:

- OTP 17.0 直至 OTP 28.0.3
- OTP 27.3.4.3
- OTP 26.2.5.15

对应 `ssh` 模块版本:

- 从 3.0.1 直至 5.3.3
- 5.2.11.3
- 5.1.4.12

## 细节

漏洞出现在 `lib/ssh/src/ssh_sftpd.erl` 文件中,该文件负责处理 SFTP 连接。在资源分配过程中,未设置合适的限制或节流机制,可能导致系统被无效或恶意客户端连接耗尽资源。

## 影响

攻击者可通过发起大量 SFTP 连接或执行特定操作,造成以下后果:

- **资源过度分配**:系统资源如内存或连接句柄可能被迅速耗尽。
- **资源泄露暴露**:处理连接时未能正确释放资源,导致潜在的泄露问题。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Unverified Paths can Cause Excessive Use of System Resources
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Allocation of Resources Without Limits or Throttling vulnerability in Erlang OTP ssh (ssh_sftp modules) allows Excessive Allocation, Resource Leak Exposure. This vulnerability is associated with program files lib/ssh/src/ssh_sftpd.erl. This issue affects OTP form OTP 17.0 until OTP 28.0.3, OTP 27.3.4.3 and 26.2.5.15 corresponding to ssh from 3.0.1 until 5.3.3, 5.2.11.3 and 5.1.4.12.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
不加限制或调节的资源分配
来源:美国国家漏洞数据库 NVD
漏洞标题
Erlang/OTP 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Erlang/OTP是Erlang/OTP开源的一个JavaScript编写的处理处理异常的库。该库可以捕捉node.js内置API引发的异常。 Erlang/OTP 17.0版本至28.0.3版本和27.3.4.3版本和26.2.5.15版本存在安全漏洞,该漏洞源于资源分配无限制或节流,可能导致资源过度分配和泄露。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-48039 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-48039 的情报信息

  • 标题: SSH Unverified Paths can Cause Excessive Use of System Resources · Advisory · erlang/otp · GitHub -- 🔗来源链接

    标签: vendor-advisory

    神龙速读
    SSH Unverified Paths can Cause Excessive Use of System Resources · Advisory · erlang/otp · GitHub

  • 标题: Versions — Erlang System Documentation v28.0.1 -- 🔗来源链接

    标签: x_version-scheme

    神龙速读
    Versions — Erlang System Documentation v28.0.1

  • 标题: ssh: ssh_sftpd verify path size for client data by u3s · Pull Request #10155 · erlang/otp · GitHub -- 🔗来源链接

    标签: patch

    神龙速读
    ssh: ssh_sftpd verify path size for client data by u3s · Pull Request #10155 · erlang/otp · GitHub

  • 标题: ssh: ssh_sftpd verify path size for client data · erlang/otp@c242e64 · GitHub -- 🔗来源链接

    标签: patch

    神龙速读
    ssh: ssh_sftpd verify path size for client data · erlang/otp@c242e64 · GitHub

  • 标题: ssh: ssh_sftpd verify path size for client data · erlang/otp@043ee3c · GitHub -- 🔗来源链接

    标签: patch

    神龙速读
    ssh: ssh_sftpd verify path size for client data · erlang/otp@043ee3c · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-48039
四、漏洞 CVE-2025-48039 的评论

暂无评论

发表评论