CVE-2026-46673
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 - wyżej niż 12% wszystkich znanych CVE
Streszczenie
Russh to biblioteka klienta i serwera SSH napisana w Rust. W wersjach przed 0.60.3 występowały problemy z niekontrolowanym wzrostem pojemności CryptoVec oraz niebezpiecznymi ścieżkami alokacji/zablokowania, co mogło prowadzić do wprowadzenia przez atakującego nieprawidłowych długości ramek.
Ocena ryzyka
Organizacje korzystające z russh w wersjach przed 0.60.3 są narażone na ataki, które mogą prowadzić do nieautoryzowanego dostępu lub wycieku danych przez manipulację długościami ramek.
Rekomendacja
Zaleca się aktualizację do wersji 0.60.3 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Russh is a Rust SSH client & server library. Prior to version 0.60.3, CryptoVec used unchecked capacity growth, unchecked length arithmetic, and unsafe allocation/locking paths. In current russh releases, local SSH agent peers could still feed attacker-controlled frame lengths into buffer growth before validation. In older russh releases before 0.58.0, remote SSH traffic also reached CryptoVec through transport and compression buffers. This issue has been patched in version 0.60.3.

