Wiz
Base de données de vulnérabilitésCVE-2025-58181

CVE-2025-58181
cAdvisor Analyse et atténuation des vulnérabilités

Aperçu

CVE-2025-58181 is a security vulnerability affecting SSH servers that parse GSSAPI authentication requests. The vulnerability was discovered and disclosed on November 19, 2025, affecting the golang.org/x/crypto/ssh package. The issue stems from SSH servers not validating the number of mechanisms specified in GSSAPI authentication requests (Go Project, NVD).

Détails techniques

The vulnerability occurs when SSH servers process GSSAPI authentication requests without proper validation of the mechanism count specified in the request. This oversight allows potential attackers to manipulate the request in a way that leads to unbounded memory consumption. The issue has been assigned a CVSS v3.1 base score of 5.3 (Medium) with the vector string CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L, indicating network accessibility with low attack complexity and no required privileges or user interaction (NVD).

Impact

The primary impact of this vulnerability is on system availability through unbounded memory consumption. When exploited, an attacker can cause the affected SSH server to allocate excessive amounts of memory, potentially leading to resource exhaustion and degraded system performance (Go Project).

Atténuation et solutions de contournement

The vulnerability has been fixed in golang.org/x/crypto version v0.45.0. Users are advised to upgrade to this version or later to address the security issue. The fix was implemented to properly validate the number of mechanisms specified in GSSAPI authentication requests (Go Project).

Réactions de la communauté

The vulnerability was responsibly disclosed and reported by security researcher Jakub Ciolek. The Go Security team promptly addressed the issue by releasing a security update (Go Project).

Ressources additionnelles

SourceCe rapport a été généré à l’aide de l’IA

Apparenté cAdvisor Vulnérabilités:

Identifiant CVE

Sévérité

Score

Technologies

Nom du composant

Exploit CISA KEV

A corrigé

Date de publication

CVE-2025-65637HIGH7.5
  • cAdvisorcAdvisor
  • consul-1.20
NonOuiDec 04, 2025
CVE-2025-61729HIGH7.5
  • cAdvisorcAdvisor
  • opentelemetry-operator
NonOuiDec 02, 2025
CVE-2025-61727MEDIUM6.5
  • cAdvisorcAdvisor
  • crossplane-function-environment-configs-fips
NonOuiDec 03, 2025
CVE-2025-58181MEDIUM5.3
  • cAdvisorcAdvisor
  • azuredisk-csi-fips-1.29
NonOuiNov 19, 2025
CVE-2025-47914MEDIUM5.3
  • cAdvisorcAdvisor
  • argo-workflows-fips-3.7
NonOuiNov 19, 2025

Évaluation gratuite des vulnérabilités

Évaluez votre posture de sécurité dans le cloud

Évaluez vos pratiques de sécurité cloud dans 9 domaines de sécurité pour évaluer votre niveau de risque et identifier les failles dans vos défenses.

Demander une évaluation

Ressources Wiz supplémentaires

PEACH

PEACH

Un cadre d’isolation des locataires

Obtenez une démo personnalisée

Prêt(e) à voir Wiz en action ?

"La meilleure expérience utilisateur que j’ai jamais vue, offre une visibilité totale sur les workloads cloud."
David EstlickRSSI
"Wiz fournit une interface unique pour voir ce qui se passe dans nos environnements cloud."
Adam FletcherChef du service de sécurité
"Nous savons que si Wiz identifie quelque chose comme critique, c’est qu’il l’est réellement."
Greg PoniatowskiResponsable de la gestion des menaces et des vulnérabilités
Demander une démo