Existe una vulnerabilidad de severidad crítica en el componente de servidor SSH de Erlang/OTP, una tecnología utilizada en telecomunicaciones, dispositivos IoT y plataformas de mensajería en tiempo real. Esta podría permitir que un actor malicioso no autenticado ejecute código remoto. Al explotar una vulnerabilidad de manejo de mensajes en el protocolo SSH, un actor malicioso podría obtener acceso no autorizado a los sistemas afectados y ejecutar comandos arbitrarios sin credenciales válidas.
Productos afectados
- Versiones de OTP 27 anteriores a OTP-27.3.3
- Versiones de OTP 26 anteriores a OTP-26.2.5.11
- Versiones de OTP 25 anteriores a OTP-25.3.2.20
Impacto
La vulnerabilidad de severidad crítica se ha identificado como:
CVE-2025-32433: con una puntuación de 10 en CVSS v3.1. Erlang/OTP es un conjunto de bibliotecas para el lenguaje de programación Erlang. Un servidor SSH podía permitir a un actor malicioso realizar una ejecución remota de código (RCE) sin autenticación. Al explotar una vulnerabilidad en la gestión de mensajes del protocolo SSH, un actor malicioso podría obtener acceso no autorizado a los sistemas afectados y ejecutar comandos arbitrarios sin credenciales válidas.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante. Cuando esto no sea posible a corto plazo, el proveedor recomienda evaluar la implementación de una solución temporal, que consiste en deshabilitar el servidor SSH o evitar el acceso a través de las reglas del firewall.
Referencias
- https://github.com/erlang/otp/security/advisories/GHSA-37cp-fgq5-7wc2
- https://www.cve.org/CVERecord?id=CVE-2025-32433