CVE-2026-23943 in OTPinfo

Zusammenfassung

von VulDB • 31.05.2026

Fehlerhafte Verarbeitung stark komprimierter Daten (Komprimierungs-Bombe)-Schwachstelle in Erlang OTP ssh (ssh_transport-Module) ermöglicht Denial of Service (DoS) durch Ressourcenerschöpfung.

Die SSH-Transportschicht gibt standardmäßig die Legacy-zlib-Komprimierung bekannt und bläst vom Angreifer kontrollierte Payloads vor der Authentifizierung ohne jegliche Größenbeschränkung auf, was einen zuverlässigen DoS durch Speichererschöpfung ermöglicht.

Zwei Komprimierungsalgorithmen sind betroffen:

* zlib: Aktiviert sich unmittelbar nach dem Schlüsselaustausch, was unauthentifizierte Angriffe ermöglicht * [email protected]: Aktiviert sich nach der Authentifizierung, was authentifizierte Angriffe ermöglicht

Jedes SSH-Paket kann ~255 MB aus 256 KB Drahtdaten dekomprimieren (1029:1-Verstärkungsverhältnis). Mehrere Pakete können den verfügbaren Speicher schnell erschöpfen, was zu OOM-Kills (Out-of-Memory-Kills) in speicherbeschränkten Umgebungen führt.

Diese Schwachstelle ist mit den Programmdateien lib/ssh/src/ssh_transport.erl und den Programm-Routinen ssh_transport:decompress/2, ssh_transport:handle_packet_part/4 verbunden.

Dieses Problem betrifft OTP ab OTP 17.0 bis hin zu OTP 28.4.1, 27.3.4.9 und 26.2.5.18, entsprechend ssh ab 3.0.1 bis hin zu 5.5.1, 5.2.11.6 und 5.1.4.14.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

EEF

Reservieren

19.01.2026

Veröffentlichung

13.03.2026

Moderieren

akzeptiert

Eintrag

VDB-350826

CPE

bereit

EPSS

0.00065

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-23943
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-23943
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-23943/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!