CVE-2026-48110
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 - wyżej niż 19% wszystkich znanych CVE
Streszczenie
Russh to biblioteka SSH napisana w Rust, która w wersjach od 0.34.0 do przed 0.61.0 miała problem z dekodowaniem kontrolowanych przez atakującego ciągów SSH. Atakujący mógł wysłać złośliwe dane, co prowadziło do nieprawidłowego przydzielania pamięci.
Ocena ryzyka
Atakujący mógł wykorzystać tę podatność do przepełnienia bufora lub innych problemów z pamięcią, co może prowadzić do awarii usługi lub wykonania złośliwego kodu.
Rekomendacja
Zaleca się aktualizację biblioteki russh do wersji 0.61.0 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Russh is a Rust SSH client & server library. From version 0.34.0 to before version 0.61.0, several russh client and server message handlers decoded attacker-controlled SSH strings, name-lists, and byte fields into owned allocations before applying field-specific bounds. A remote SSH peer could send oversized, high-fanout, or malformed length-prefixed fields and make the library allocate, attempt to allocate, or split data before rejecting input that should have been rejected earlier. This issue has been patched in version 0.61.0.

