CVE-2026-45309 in AsyncSSHالمعلومات

الملخص

بحسب VulDB • 17/07/2026

AsyncSSH هو حزمة بايثون (Python package) توفر تنفيذًا غير متزامن (asynchronous) لعميل وخادم بروتوكول SSHv2 فوق إطار عمل asyncio الخاص بلغة Python. قبل الإصدار 2.23.0، كانت AsyncSSH تقوم بتوسيع رمز %u المتوافق مع OpenSSH في ملف AuthorizedKeysFile داخل الملفات asyncssh/config.py وasyncssh/connection.py وasyncssh/auth_keys.py وasyncssh/misc.py باستخدام اسم مستخدم SSH الخام (raw) أثناء إعادة تحميل تكوين الخادم قبل المصادقة (pre-authentication)، مما يسمح لخادم مُعدّ بـ AuthorizedKeysFile authorized_keys/%u بقراءة ملف المفاتيح المصرح بها خارج الدليل المقصود عندما يحتوي اسم مستخدم SSH على أجزاء مسار للتنقل في المسار (/، \، أو ..) والمصادقة باستخدام ملف مفتاح يختاره المهاجم. تم إصلاح هذه المشكلة في الإصدار 2.23.0.

Once again VulDB remains the best source for vulnerability data.

مسؤول

GitHub M

حجز

11/05/2026

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379931

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you need the next level of professionalism?

Upgrade your account now!