BDU:2025-13871

Опубликовано: 16 июн. 2025

Источник: fstec

CVSS3: 4.4

CVSS2: 3.6

EPSS Низкий

Описание

Уязвимость набора библиотек OTP языка программирования Erlang связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю записывать произвольные файлы в систему

Вендор

Сообщество свободного программного обеспечения

ООО «Ред Софт»

Novell Inc.

Ericsson-LG Enterprise Co., Ltd.

Наименование ПО

Debian GNU/Linux

РЕД ОС

Suse Linux Enterprise Server

SUSE Linux Enterprise Server for SAP Applications

SUSE Linux Enterprise High Performance Computing

OpenSUSE Leap

SUSE Linux Enterprise Module for Server Applications

Erlang

Версия ПО

12 (Debian GNU/Linux)

7.3 (РЕД ОС)

15 SP6 (Suse Linux Enterprise Server)

15 SP6 (SUSE Linux Enterprise Server for SAP Applications)

15 SP6 (SUSE Linux Enterprise High Performance Computing)

15.6 (OpenSUSE Leap)

15 SP6 (SUSE Linux Enterprise Module for Server Applications)

15 SP7 (SUSE Linux Enterprise High Performance Computing)

15 SP7 (Suse Linux Enterprise Server)

15 SP7 (SUSE Linux Enterprise Server for SAP Applications)

15 SP7 (SUSE Linux Enterprise Module for Server Applications)

от OTP-26.2.5.0 до OTP-26.2.5.13 (Erlang)

от OTP-27.3.4.0 до OTP-27.3.4.1 (Erlang)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 12

ООО «Ред Софт» РЕД ОС 7.3

Novell Inc. Suse Linux Enterprise Server 15 SP6

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6

Novell Inc. OpenSUSE Leap 15.6

Novell Inc. Suse Linux Enterprise Server 15 SP7

Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP7

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,6)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/erlang/otp/security/advisories/GHSA-9g37-pgj9-wrhc

Для РедОС:

https://redos.red-soft.ru/support/secure/uyazvimosti/mnozhestvennye-uyazvimosti-erlang-30102025/?sphrase_id=1339068

Для Debian GNU/Linux:

https://security-tracker.debian.org/tracker/CVE-2025-4748

Для программных продуктов Novell Inc.:

https://www.suse.com/ko-kr/security/cve/CVE-2025-4748.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-4748
CVE

EPSS

Процентиль: 17%

0.00054

Низкий

4.4 Medium

CVSS3

3.6 Low

CVSS2

Связанные уязвимости

ROS-20251030-05

CVSS3: 5.3

redos

3 месяца назад

Множественные уязвимости erlang

CVE-2025-4748

ubuntu

7 месяцев назад

Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') vulnerability in Erlang OTP (stdlib modules) allows Absolute Path Traversal, File Manipulation. This vulnerability is associated with program files lib/stdlib/src/zip.erl and program routines zip:unzip/1, zip:unzip/2, zip:extract/1, zip:extract/2 unless the memory option is passed. This issue affects OTP from OTP 17.0 until OTP 28.0.1, OTP 27.3.4.1 and OTP 26.2.5.13, corresponding to stdlib from 2.0 until 7.0.1, 6.2.2.1 and 5.2.3.4.

CVE-2025-4748

nvd

7 месяцев назад

CVE-2025-4748

msrc

5 месяцев назад

Absolute path traversal in zip:unzip/1,2

CVE-2025-4748

debian

7 месяцев назад

Improper Limitation of a Pathname to a Restricted Directory ('Path Tra ...

EPSS

Процентиль: 17%

0.00054

Низкий

4.4 Medium

CVSS3

3.6 Low

CVSS2