Компания Cisco официально заявила о наличии критического дефекта в библиотеке Erlang/OTP SSH, который затрагивает ряд ее продуктов. Уязвимость, получившая идентификатор CVE-2025-32433, оценивается по шкале CVSS в максимально возможные 10.0 баллов. Этот недостаток позволяет неаутентифицированным злоумышленникам выполнять произвольный код на затронутых устройствах, использующих SSH-сервер на базе Erlang/OTP. Об этом сообщает издание SecurityWeek.
Проблема коренится в некорректной обработке определенных сообщений протокола SSH, что дает возможность злоумышленнику отправлять команды до завершения процесса аутентификации. Успешная эксплуатация может привести к полной компрометации системы, особенно в случаях, когда служба SSH функционирует с административными привилегиями (root).
Помимо сетевого оборудования Cisco, включая коммутаторы и маршрутизаторы, данная уязвимость затрагивает продукты компании Ericsson, а также различные IoT-системы, в которых применяется язык программирования Erlang.
Cisco подтвердила разработку обновлений программного обеспечения для устранения данной проблемы и настоятельно рекомендует пользователям установить патчи для Erlang/OTP версии 27.3.3, 26.2.5.11 или 25.3.2.20. В качестве временной меры до выпуска исправлений производитель советует ограничить доступ к SSH-порту уязвимых устройств, например, с помощью настроек брандмауэра. Отмечается, что публичные эксплойты, использующие этот дефект, уже доступны.
Ранее выяснилось, что в Android 16 появится новая защита от взлома через USB.
