Cisco объявила, что некоторые её продукты уязвимы из-за критического дефекта в библиотеке Erlang/OTP SSH, получившего обозначение CVE-2025-32433. Уязвимость, с максимальным рейтингом CVSS 10.0, позволяет злоумышленникам без аутентификации выполнять произвольный код на устройствах, использующих SSH-сервер Erlang/OTP. Это угрожает полной компрометацией системы, особенно если SSH работает с правами администратора (root).
Проблема связана с некорректной обработкой сообщений протокола SSH, позволяя атакующим отправлять команды до завершения аутентификации. Уязвимость затрагивает устройства Cisco, включая сетевые коммутаторы и маршрутизаторы, а также продукты Ericsson и IoT-системы, использующие Erlang — язык программирования.
Cisco подтвердила, что работает над обновлениями для устранения проблемы, и рекомендует пользователям установить патчи Erlang/OTP версий 27.3.3, 26.2.5.11 или 25.3.2.20. В качестве временной меры компания советует ограничить доступ к SSH-порту через брандмауэр. Публичные эксплойты уже появились.