Erlang/OTP 17.0 < 27.3.4.14 / 28.0 < 28.5.0.3 / 29.0 < 29.0.3 多個弱點

medium Nessus Plugin ID 325890

概要

遠端主機受多個弱點影響。

說明

遠端主機上安裝的 Erlang/OTP 是 27.3.4.14 之前的 17.0 版、28.5.0.3 之前的 28.0 版或 29.0.3 之前的 29.0 版。因此,會受到多個弱點影響:

- Erlang OTP ssh (ssh_sftpd 模組) 中的可觀察回應差異弱點允許經過驗證的 SFTP 使用者列舉已設定根目錄之外是否存在檔案和目錄。
(CVE-2026-53422)

- Erlang OTP ssh (ssh_sftpd 模組) 中的 Loop with Unreachable Exit Condition (「Infinite Loop」) 弱點允許經驗證的 SFTP 使用者使 SFTP 通道永久無回應。(CVE-2026-54886)

- Erlang/OTP ssl (tls_gen_connection 模組) 中的「通訊通道傳輸期間不當強制執行訊息完整性」弱點允許網路定位的攻擊者插入未經驗證的純文字,TLS用戶端應用程式稍後會將其視為已驗證的伺服器資料。(CVE-2026-54891)

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Erlang/OTP 27.3.4.14、28.5.0.3、29.0.3 或更新版本。

另請參閱

https://github.com/erlang/otp/security/advisories/GHSA-7wp4-pc27-2vj9

https://github.com/erlang/otp/security/advisories/GHSA-gf6r-99xw-6qg6

https://github.com/erlang/otp/security/advisories/GHSA-h9pw-h5w4-h976

Plugin 詳細資訊

嚴重性: Medium

ID: 325890

檔案名稱: erlang_otp_CVE-2026-53422.nasl

版本: 1.2

類型: Local

代理程式: windows, macosx, unix

系列: Misc.

已發布: 2026/7/9

已更新: 2026/7/10

組態: 啟用徹底檢查 (optional)

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.2

百分位: 51.08

CVSS v2

風險因素: Medium

基本分數: 4

時間性分數: 3

媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:N/A:N

CVSS 評分資料來源: CVE-2026-53422

CVSS v3

風險因素: Medium

基本分數: 4.3

時間性分數: 3.8

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

風險因素: Medium

Base Score: 6.3

Threat Score: 1.7

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

CVSS 評分資料來源: CVE-2026-54891

弱點資訊

CPE: cpe:/a:erlang:erlang%2fotp

必要的 KB 項目: installed_sw/Erlang-OTP

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2026/7/2

弱點發布日期: 2026/7/2

參考資訊

CVE: CVE-2026-53422, CVE-2026-54886, CVE-2026-54891