一、 漏洞 CVE-2025-46712 基础信息
漏洞标题
Erlang/OTP SSH存在严格的密钥交换违规问题
来源:AIGC 神龙大模型
漏洞描述信息
## 漏洞概述 Erlang/OTP是一组用于Erlang编程语言的库。在某些版本中,Erlang/OTP的SSH组件未能实施严格的KEX握手加固措施,允许交换可选的消息。这使得中间人攻击者能够在握手期间注入这些消息。 ## 影响版本 - OTP-27版本:小于OTP-27.3.4 - OTP-26版本:小于OTP-26.2.5.12 - OTP-25版本:小于OTP-25.3.2.21 ## 细节 Erlang/OTP的SSH组件未能防止可选消息的交换,允许中间人攻击者在握手期间注入这些消息。修复补丁已发布于以下版本: - OTP-27版本:OTP-27.3.4 - OTP-26版本:OTP-26.2.5.12 - OTP-25版本:OTP-25.3.2.21 ## 影响 该漏洞可能导致中间人攻击者通过在SSH握手期间注入消息,干扰正常连接,进而可能导致数据泄露或会话劫持。建议用户更新到上述受影响版本的修补版本以避免风险。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
使用欺骗进行的认证绕过
来源:AIGC 神龙大模型
漏洞标题
Erlang/OTP SSH Has Strict KEX Violations
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Erlang/OTP is a set of libraries for the Erlang programming language. In versions prior to OTP-27.3.4 (for OTP-27), OTP-26.2.5.12 (for OTP-26), and OTP-25.3.2.21 (for OTP-25), Erlang/OTP SSH fails to enforce strict KEX handshake hardening measures by allowing optional messages to be exchanged. This allows a Man-in-the-Middle attacker to inject these messages in a connection during the handshake. This issue has been patched in versions OTP-27.3.4 (for OTP-27), OTP-26.2.5.12 (for OTP-26), and OTP-25.3.2.21 (for OTP-25).
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
预期行为违背
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-46712 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-46712 的情报信息