CVE-2026-23943 in OTPinformação

Sumário

de VulDB • 31/05/2026

Vulnerabilidade de Manipulação Inadequada de Dados Altamente Comprimidos (Bomba de Compressão) no Erlang OTP ssh (módulos ssh_transport) permite Negação de Serviço (DoS) via Esgotamento de Recursos.

A camada de transporte SSH anuncia por padrão a compressão zlib legada e infla payloads controlados pelo atacante antes da autenticação, sem qualquer limite de tamanho, permitindo um DoS confiável por esgotamento de memória.

Dois algoritmos de compressão são afetados:

* zlib: Ativa-se imediatamente após a troca de chaves, permitindo ataques não autenticados * [email protected]: Ativa-se após a autenticação, permitindo ataques autenticados

Cada pacote SSH pode descomprimir ~255 MB a partir de 256 KB de dados em wire (razão de amplificação de 1029:1). Múltiplos pacotes podem esgotar rapidamente a memória disponível, causando kills OOM (Out of Memory) em ambientes com restrição de memória.

Esta vulnerabilidade está associada aos arquivos do programa lib/ssh/src/ssh_transport.erl e às rotinas do programa ssh_transport:decompress/2, ssh_transport:handle_packet_part/4.

Esta questão afeta o OTP desde o OTP 17.0 até o OTP 28.4.1, 27.3.4.9 e 26.2.5.18, correspondentes ao ssh de 3.0.1 até 5.5.1, 5.2.11.6 e 5.1.4.14.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

EEF

Reservar

19/01/2026

Divulgação

13/03/2026

Moderação

aceite

Entrada

VDB-350826

CPE

pronto

EPSS

0.00065

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-23943
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-23943
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-23943/

VoltarVisão GeralPróximo

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!