一、 漏洞 CVE-2025-48041 基础信息
漏洞信息
                                        # SSH_FXP_OPENDIR 导致文件句柄耗尽

## 概述

Erlang OTP 的 `ssh_sftp` 模块中存在 **资源分配无限制或未节流** 的漏洞,可能导致 **资源过度分配与服务 flooding**。

## 影响版本

- **OTP 版本**:从 OTP 17.0 至 OTP 28.0.3、OTP 27.3.4.3、OTP 26.2.5.15
- **SSH 模块版本**:从 3.0.1 至 5.3.3、5.2.11.3、5.1.4.12

## 细节

漏洞存在于 `lib/ssh/src/ssh_sftpd.erl` 文件中。该模块在处理 SFTP 请求时,未对资源分配进行适当限制或节流,攻击者可利用此漏洞发起资源耗尽攻击。

## 影响

- **过度资源分配**:可能导致服务占用过多内存或连接资源
- **服务 Flooding**:攻击者可以引发大量请求,导致系统资源耗尽,从而影响服务稳定性或引发拒绝服务(DoS)
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
SSH_FXP_OPENDIR may Lead to Exhaustion of File Handles
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Allocation of Resources Without Limits or Throttling vulnerability in Erlang OTP ssh (ssh_sftp modules) allows Excessive Allocation, Flooding. This vulnerability is associated with program files lib/ssh/src/ssh_sftpd.erl. This issue affects OTP form OTP 17.0 until OTP 28.0.3, OTP 27.3.4.3 and 26.2.5.15 corresponding to ssh from 3.0.1 until 5.3.3, 5.2.11.3 and 5.1.4.12.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
不加限制或调节的资源分配
来源:美国国家漏洞数据库 NVD
漏洞标题
Erlang/OTP 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Erlang/OTP是Erlang/OTP开源的一个JavaScript编写的处理处理异常的库。该库可以捕捉node.js内置API引发的异常。 Erlang/OTP 17.0版本至28.0.3版本、27.3.4.3版本和26.2.5.15版本存在安全漏洞,该漏洞源于lib/ssh/src/ssh_sftpd.erl中资源分配无限制,可能导致资源过度分配和洪水攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-48041 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-48041 的情报信息

  • 标题: SSH_FXP_OPENDIR may Lead to Exhaustion of File Handles · Advisory · erlang/otp · GitHub -- 🔗来源链接

    标签: vendor-advisory

    神龙速读
    SSH_FXP_OPENDIR may Lead to Exhaustion of File Handles · Advisory · erlang/otp · GitHub

  • 标题: Versions — Erlang System Documentation v28.0.1 -- 🔗来源链接

    标签: x_version-scheme

    神龙速读
    Versions — Erlang System Documentation v28.0.1

  • 标题: ssh: max_handles option added to ssh_sftpd by u3s · Pull Request #10157 · erlang/otp · GitHub -- 🔗来源链接

    标签: patch

    神龙速读
    ssh: max_handles option added to ssh_sftpd by u3s · Pull Request #10157 · erlang/otp · GitHub

  • 标题: ssh: max_handles option added to ssh_sftpd · erlang/otp@5f9af63 · GitHub -- 🔗来源链接

    标签: patch

    神龙速读
    ssh: max_handles option added to ssh_sftpd · erlang/otp@5f9af63 · GitHub

  • 标题: ssh: max_handles option added to ssh_sftpd · erlang/otp@d49efa2 · GitHub -- 🔗来源链接

    标签: patch

    神龙速读
    ssh: max_handles option added to ssh_sftpd · erlang/otp@d49efa2 · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2025-48041
四、漏洞 CVE-2025-48041 的评论

暂无评论

发表评论