Vulnerabilidad en Erlang (CVE-2025-26618)

Gravedad CVSS v4.0:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

20/02/2025

Última modificación:

03/11/2025

Descripción

Erlang es un lenguaje de programación y un sistema de ejecución para crear sistemas de tiempo real flexibles y escalables de forma masiva con requisitos de alta disponibilidad. OTP es un conjunto de bibliotecas de Erlang, que consta del sistema de ejecución de Erlang, una serie de componentes listos para usar escritos principalmente en Erlang. El tamaño de los paquetes no se verifica correctamente para los paquetes SFTP. Como resultado, cuando se reciben varios paquetes SSH (que se ajustan al tamaño máximo de paquete SSH) por ssh, es posible que se combinen en un paquete SFTP que superará el tamaño máximo de paquete permitido y potencialmente provocará que se asigne una gran cantidad de memoria. Tenga en cuenta que la situación descrita anteriormente solo puede ocurrir para usuarios autenticados correctamente después de completar el protocolo de enlace SSH. Este problema se ha corregido en las versiones 27.2.4, 26.2.5.9 y 25.3.2.18 de OTP. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 7.00 ALTA
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Alto

Puntuación base 4.0

7.00

Gravedad 4.0

ALTA

Vulnerabilidad en Erlang (CVE-2025-26618)

Descripción

Impacto

Referencias a soluciones, herramientas e información