CVE-2025-46712— Erlang/OTP 安全漏洞
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2025-46712の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
Erlang/OTP SSH Has Strict KEX Violations
ソース: NVD (National Vulnerability Database)
脆弱性説明
Erlang/OTP is a set of libraries for the Erlang programming language. In versions prior to OTP-27.3.4 (for OTP-27), OTP-26.2.5.12 (for OTP-26), and OTP-25.3.2.21 (for OTP-25), Erlang/OTP SSH fails to enforce strict KEX handshake hardening measures by allowing optional messages to be exchanged. This allows a Man-in-the-Middle attacker to inject these messages in a connection during the handshake. This issue has been patched in versions OTP-27.3.4 (for OTP-27), OTP-26.2.5.12 (for OTP-26), and OTP-25.3.2.21 (for OTP-25).
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:L/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
预期行为违背
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Erlang/OTP 安全漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Erlang/OTP是Erlang/OTP开源的一个JavaScript编写的处理处理异常的库。该库可以捕捉node.js内置API引发的异常。 Erlang/OTP存在安全漏洞,该漏洞源于SSH未严格实施KEX握手措施,可能导致中间人攻击。以下版本受到影响:OTP-27.3.4之前版本、OTP-26.2.5.12之前版本和OTP-25.3.2.21之前版本。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
II. CVE-2025-46712の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2025-46712のインテリジェンス情報
请登录查看更多情报信息。
- Release OTP 25.3.2.21 · erlang/otp · GitHubx_refsource_MISC
- Release OTP 26.2.5.12 · erlang/otp · GitHubx_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2025-46712
IV. 関連脆弱性
同じ製品: otp
- CVE-2026-32147
SFTP chroot bypass via path traversal in SSH_FXP_FSETSTAT - CVE-2026-28808
ScriptAlias CGI targets bypass directory auth in inets httpd - CVE-2026-32144
OCSP designated-responder authorization bypass via missing s - CVE-2026-28810
Predictable DNS Transaction IDs Enable Cache Poisoning in Bu - CVE-2026-23943
Pre-auth SSH DoS via unbounded zlib inflate
同じベンダー: erlang
- CVE-2026-32147
SFTP chroot bypass via path traversal in SSH_FXP_FSETSTAT - CVE-2026-28808
ScriptAlias CGI targets bypass directory auth in inets httpd - CVE-2026-32144
OCSP designated-responder authorization bypass via missing s - CVE-2026-28810
Predictable DNS Transaction IDs Enable Cache Poisoning in Bu - CVE-2026-23943
Pre-auth SSH DoS via unbounded zlib inflate
同じ弱点: CWE-440
- CVE-2026-41136
free5GC AMF missing default case in Content-Type switch in H - CVE-2026-3344
WatchGuard Firebox System Integrity Check Bypass - CVE-2025-13940
WatchGuard Firebox Boot Time System Integrity Check Bypass - CVE-2025-8850
Insecure API Design in danny-avila/librechat - CVE-2025-52953
Junos OS and Junos OS Evolved: An unauthenticated adjacent a
V. CVE-2025-46712へのコメント
まだコメントはありません