В Erlang/OTP нашли критическую уязвимость

Эксперты обнаружили в  Erlang/OTP критическую уязвимость (CVE-2025-32433) с рейтингом CVSS 10.0. Она позволяет злоумышленникам удаленно выполнить код без аутентификации. Об этом сообщил  руководитель группы защиты инфраструктурных ИТ-решений «Газинформсервис» Сергей Полунин. 

Erlang/OTP – это язык программирования и платформа для разработки высоконадежных, масштабируемых и отказоустойчивых приложений, работающих в режиме реального времени. Эта технология лежит в основе многих систем, требующих высокой доступности. 

Сообщается, что уязвимость затрагивает SSH-сервер Erlang/OTP. Эксперты считают, что злоумышленники могут использовать ее для полного контроля над системой. 

Сергей Полунин отметил, что подобные уязвимости требуют немедленной установки патчей, которые обычно доступны к моменту объявления об угрозе. 

«Сложности возникают, когда уязвимость обнаруживается в каком-то продукте с открытым исходным кодом, у которого нет одного автора, который бы оперативно устранил проблему. В этом случае как правило в сообществе появляются рекомендации по компенсирующим мерам, но увы об этом никогда не узнает даже самый лучший сканер безопасности», – добавил Полунин.

Ранее редакция IT Speaker писала о том, что злоумышленники регулярно пытаются найти уязвимости в ИТ-инфраструктуре, чтобы скачать важные данные или получить доступ к финансам и документам организаций. По данным экспертов, на первом месте среди уязвимостей оказалось отсутствие блокировки при переборе паролей и пользователей на веб.