Katalog CVE

CVE-2026-48859

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 27 — wyżej niż 27% wszystkich znanych CVE

Streszczenie

Podatność typu Observable Timing Discrepancy w Erlang/OTP ssh umożliwia nieautoryzowaną enumerację nazw użytkowników zdalnie poprzez analizę różnic czasowych w uwierzytelnianiu hasłem. Różnica w czasie odpowiedzi dla poprawnych i niepoprawnych nazw użytkowników pozwala atakującemu na odróżnienie ich w pojedynczej próbie uwierzytelnienia.

Ocena ryzyka

Organizacja może być narażona na ataki, które umożliwiają nieautoryzowanym użytkownikom identyfikację poprawnych nazw użytkowników, co może prowadzić do dalszych prób włamań.

Rekomendacja

Zaleca się unikanie używania opcji user_passwords i password w konfiguracji SSH oraz przejście na alternatywę pwdfun, która nie jest podatna na tę lukę.

Oryginalny opis (angielski, źródło NVD)

Observable Timing Discrepancy vulnerability in Erlang/OTP ssh (ssh_auth, ssh_options modules) allows unauthenticated remote username enumeration via timing side-channel in password authentication. When the SSH daemon is configured with the user_passwords or password option, ssh_auth:check_password/3 performs a PBKDF2-SHA256 computation with 600,000 iterations (~300ms) for valid usernames, but returns immediately (~0ms) for invalid usernames via the ssh_options:get_password_option/2 path. This timing difference is detectable in a single authentication attempt and allows an unauthenticated attacker to distinguish valid from invalid usernames. The user_passwords and password options are documented as intended for test purposes; the recommended alternative is pwdfun, which is not affected by this vulnerability. This vulnerability is associated with program files lib/ssh/src/ssh_auth.erl and lib/ssh/src/ssh_options.erl. This issue affects OTP from OTP 29.0 before 29.0.2 corresponding to ssh from 6.0 before 6.0.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS