Katalog CVE

CVE-2026-48110

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.06%

Percentyl 19 - wyżej niż 19% wszystkich znanych CVE

Streszczenie

Russh to biblioteka SSH napisana w Rust, która w wersjach od 0.34.0 do przed 0.61.0 miała problem z dekodowaniem kontrolowanych przez atakującego ciągów SSH. Atakujący mógł wysłać złośliwe dane, co prowadziło do nieprawidłowego przydzielania pamięci.

Ocena ryzyka

Atakujący mógł wykorzystać tę podatność do przepełnienia bufora lub innych problemów z pamięcią, co może prowadzić do awarii usługi lub wykonania złośliwego kodu.

Rekomendacja

Zaleca się aktualizację biblioteki russh do wersji 0.61.0 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Russh is a Rust SSH client & server library. From version 0.34.0 to before version 0.61.0, several russh client and server message handlers decoded attacker-controlled SSH strings, name-lists, and byte fields into owned allocations before applying field-specific bounds. A remote SSH peer could send oversized, high-fanout, or malformed length-prefixed fields and make the library allocate, attempt to allocate, or split data before rejecting input that should have been rejected earlier. This issue has been patched in version 0.61.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS