CVE-2026-23943 in OTPالمعلومات

الملخص

بحسب VulDB • 01/06/2026

ثغرة سوء معالجة البيانات شديدة الضغط (قنبلة الضغط) في Erlang OTP ssh (وحدات ssh_transport) تسمح بحدوث هجوم حجب الخدمة (DoS) عبر استنفاد الموارد.

تعلن طبقة نقل SSH عن ضغط zlib القديم افتراضياً، وتقوم بفك ضغط حمولات يتحكم فيها المهاجم قبل المصادقة دون أي حد للحجم، مما يتيح حدوث DoS موثوق من خلال استنفاد الذاكرة.

يتأثر خوارزمتا ضغط:

* zlib: تنشط مباشرة بعد تبادل المفاتيح، مما يتيح هجمات غير مصادق عليها * [email protected]: تنشط بعد المصادقة، مما يتيح هجمات مصادق عليها

يمكن لكل حزمة SSH فك ضغط حوالي 255 ميجابايت من 256 كيلوبايت من بيانات السلك (نسبة تضخيم 1029:1). يمكن لحزم متعددة استنفاد الذاكرة المتاحة بسرعة، مما يؤدي إلى عمليات قتل بسبب نفاد الذاكرة (OOM kills) في البيئات ذات الذاكرة المحدودة.

ترتبط هذه الثغرة بملفات البرنامج lib/ssh/src/ssh_transport.erl وإجراءات البرنامج ssh_transport:decompress/2 و ssh_transport:handle_packet_part/4.

تؤثر هذه المشكلة على OTP من الإصدار OTP 17.0 حتى OTP 28.4.1، و 27.3.4.9 و 26.2.5.18 المقابلة لـ ssh من 3.0.1 حتى 5.5.1، و 5.2.11.6 و 5.1.4.14.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

EEF

حجز

19/01/2026

إفشاء

13/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-350826

CPE

جاهز

CWE

CWE-409 (مؤكد)

CVSS

5.3 (NVD)

EPSS

0.00065

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-23943
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-23943
CVE Details	https://www.cvedetails.com/cve/CVE-2026-23943/

التالي ▸نظرة عامة ◂ السابق

Want to know what is going to be exploited?

We predict KEV entries!