CVE-2026-39830
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 39 — wyżej niż 39% wszystkich znanych CVE
Streszczenie
Złośliwy klient SSH może wysyłać niechciane odpowiedzi na żądania globalne, wypełniając wewnętrzny bufor i blokując pętlę odczytu połączenia. Zablokowana gorutyna nie może zostać zwolniona przez wywołanie Close(), co prowadzi do wycieku zasobów na każde połączenie. Obecnie niechciane odpowiedzi globalne są odrzucane.
Ocena ryzyka
Atakujący może spowodować wyczerpanie zasobów serwera SSH poprzez utrzymywanie wielu połączeń z wyciekami pamięci, co prowadzi do odmowy usługi (DoS).
Rekomendacja
Zaktualizuj bibliotekę SSH do wersji, w której naprawiono tę podatność, aby odrzucać niechciane odpowiedzi globalne i zapobiegać wyciekom zasobów.
Oryginalny opis (angielski, źródło NVD)
A malicious SSH peer could send unsolicited global request responses to fill an internal buffer, blocking the connection's read loop. The blocked goroutine could not be released by calling Close(), resulting in a resource leak per connection. Unsolicited global responses are now discarded.

