Résumé
Le 9 Juin 2025, la CISA (Agence de Cybersécurité et de Sécurité des Infrastructures) a averti d’une faille de sécurité dans le serveur SSH d’Erlang/OTP, une plateforme largement utilisée pour développer des systèmes distribués et tolérants aux pannes
Référencée sous CVE-2025-32433, Cette faille permet à un attaquant distant d’exécuter du code arbitraire sans avoir besoin de s’authentifier, en exploitant une mauvaise gestion des messages du protocole SSH avant la phase d’authentification. Cela peut compromettre totalement la sécurité des systèmes affectés, notamment ceux utilisés par des entreprises comme Cisco, NetApp ou SUSE.
Solutions
Il est fortement recommandé de mettre à jour Erlang/OTP vers les versions corrigées suivantes : OTP-27.3.3, OTP-26.2.5.11 ou OTP-25.3.2.20, selon la version utilisée. En attendant, désactiver le serveur SSH Erlang/OTP ou restreindre son accès via un pare-feu est conseillé.
La faille est activement exploitée : Oui
Details techniques
Score CVSS : 10
Risques : Exécution de code arbitraire
Systèmes affectés
- Version 27.3.2 et versions antérieures
- Version 26.2.5.10 et versions antérieures
- Version 25.3.2.19 et versions antérieures
Documentation
- Bulletin de sécurité de Erlang/OTP
https://github.com/erlang/otp/security/advisories/GHSA-37cp-fgq5-7wc2
- Nist Details CVE
https://nvd.nist.gov/vuln/detail/CVE-2025-32433
- CVE Details
https://www.cvedetails.com/cve/CVE-2025-32433/
- Reference CVE
https://www.cve.org/CVERecord?id=CVE-2025-32433
- CWE
https://www.cvedetails.com/cwe-details/306/Missing-Authentication-for-Critical-Function.html