一、 漏洞 CVE-2025-48040 基础信息
漏洞信息
                                        # 恶意密钥交换消息可能导致资源过度消耗

## 概述

Erlang OTP 的 `ssh` 模块(包括 `ssh_sftp` 模块)存在未受控的资源消耗漏洞,可能导致内存过度分配和服务器被洪泛攻击。

## 影响版本

该漏洞影响以下版本:

- OTP 17.0 至 OTP 28.0.3
- OTP 27.3.4.3
- OTP 26.2.5.15

对应 `ssh` 模块版本范围为:

- 3.0.1 至 5.3.3
- 5.2.11.3
- 5.1.4.12

## 细节

漏洞出现在文件 `lib/ssh/src/ssh_sftpd.erl` 中。攻击者可通过特定方式触发该模块进行不必要的大量内存分配或发起洪泛攻击,导致系统资源被耗尽。

## 影响

成功利用此漏洞可能导致:

- **内存过度分配**:系统内存被无限制地分配,进而引发性能下降甚至崩溃。
- **服务洪泛攻击(Flooding)**:攻击者可发送大量请求使服务过载,造成拒绝服务(DoS)。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Malicious Key Exchange Messages may Lead to Excessive Resource Consumption
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Uncontrolled Resource Consumption vulnerability in Erlang OTP ssh (ssh_sftp modules) allows Excessive Allocation, Flooding. This vulnerability is associated with program files lib/ssh/src/ssh_sftpd.erl. This issue affects OTP form OTP 17.0 until OTP 28.0.3, OTP 27.3.4.3 and 26.2.5.15 corresponding to ssh from 3.0.1 until 5.3.3, 5.2.11.3 and 5.1.4.12.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
未加控制的资源消耗(资源穷尽)
来源:美国国家漏洞数据库 NVD
漏洞标题
Erlang/OTP 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Erlang/OTP是Erlang/OTP开源的一个JavaScript编写的处理处理异常的库。该库可以捕捉node.js内置API引发的异常。 Erlang/OTP 17.0版本至28.0.3版本、27.3.4.3版本和26.2.5.15版本存在安全漏洞,该漏洞源于lib/ssh/src/ssh_sftpd.erl文件中的资源消耗不受控制,可能导致过度分配和洪水攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-48040 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-48040 的情报信息

  • 标题: SSH Malicious Key Exchange Messages may Lead to Excessive Resource Consumption · Advisory · erlang/otp · GitHub -- 🔗来源链接

    标签: vendor-advisory

    神龙速读
    SSH Malicious Key Exchange Messages may Lead to Excessive Resource Consumption · Advisory · erlang/otp · GitHub

  • 标题: Versions — Erlang System Documentation v28.0.1 -- 🔗来源链接

    标签: x_version-scheme

    神龙速读
    Versions — Erlang System Documentation v28.0.1

  • 标题: ssh: key exchange robustness improvements by u3s · Pull Request #10162 · erlang/otp · GitHub -- 🔗来源链接

    标签: patch

    神龙速读
    ssh: key exchange robustness improvements by u3s · Pull Request #10162 · erlang/otp · GitHub

  • 标题: ssh: key exchange robustness improvements · erlang/otp@7cd7abb · GitHub -- 🔗来源链接

    标签: patch

    神龙速读
    ssh: key exchange robustness improvements · erlang/otp@7cd7abb · GitHub

  • 标题: ssh: key exchange robustness improvements · erlang/otp@548f129 · GitHub -- 🔗来源链接

    标签: patch

    神龙速读
    ssh: key exchange robustness improvements · erlang/otp@548f129 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-48040
四、漏洞 CVE-2025-48040 的评论

暂无评论

发表评论