Katalog CVE

CVE-2026-46673

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.04%

Percentyl 12 - wyżej niż 12% wszystkich znanych CVE

Streszczenie

Russh to biblioteka klienta i serwera SSH napisana w Rust. W wersjach przed 0.60.3 występowały problemy z niekontrolowanym wzrostem pojemności CryptoVec oraz niebezpiecznymi ścieżkami alokacji/zablokowania, co mogło prowadzić do wprowadzenia przez atakującego nieprawidłowych długości ramek.

Ocena ryzyka

Organizacje korzystające z russh w wersjach przed 0.60.3 są narażone na ataki, które mogą prowadzić do nieautoryzowanego dostępu lub wycieku danych przez manipulację długościami ramek.

Rekomendacja

Zaleca się aktualizację do wersji 0.60.3 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Russh is a Rust SSH client & server library. Prior to version 0.60.3, CryptoVec used unchecked capacity growth, unchecked length arithmetic, and unsafe allocation/locking paths. In current russh releases, local SSH agent peers could still feed attacker-controlled frame lengths into buffer growth before validation. In older russh releases before 0.58.0, remote SSH traffic also reached CryptoVec through transport and compression buffers. This issue has been patched in version 0.60.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS