Erlang - CVE-2025-32433
Date de publication :
Une absence d’authentification dans le protocole SSH des serveurs Erlang/OTP SSH permet à un attaquant non authentifié d’exécuter du code arbitraire et de manipuler la base de données.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Exécution de code arbitraire
Atteinte à la confidentialité des données
Atteinte à l’intégrité des données
Déni de service
Exploitation
La vulnérabilité exploitée est du type
CWE-306: Missing Authentication for Critical Function
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
Erlang OTP :
Version 27.3.2 et versions antérieures
Version 26.2.5.10 et versions antérieures
Version 25.3.2.19 et versions antérieures
Contournement provisoire
Si le déploiement du correctif n’est pas possible, il est recommandé de désactiver le serveur SSH, ou d’empêcher son accès via des règles de pare-feu.
Solutions ou recommandations
Mettre à jour Erlang OTP-27.3.X vers la version OTP-27.3.3 ou ultérieure.
Mettre à jour Erlang OTP-26.2.5.X vers la version OTP-26.2.5.11 ou ultérieure.
Mettre à jour Erlang OTP-25.3.2.X vers la version OTP-25.3.2.20 ou ultérieure.
Des informations complémentaires sont disponibles dans le bulletin d’Erlang.