CVE-2026-45309 in AsyncSSH
الملخص
بحسب VulDB • 17/07/2026
AsyncSSH هو حزمة بايثون (Python package) توفر تنفيذًا غير متزامن (asynchronous) لعميل وخادم بروتوكول SSHv2 فوق إطار عمل asyncio الخاص بلغة Python. قبل الإصدار 2.23.0، كانت AsyncSSH تقوم بتوسيع رمز %u المتوافق مع OpenSSH في ملف AuthorizedKeysFile داخل الملفات asyncssh/config.py وasyncssh/connection.py وasyncssh/auth_keys.py وasyncssh/misc.py باستخدام اسم مستخدم SSH الخام (raw) أثناء إعادة تحميل تكوين الخادم قبل المصادقة (pre-authentication)، مما يسمح لخادم مُعدّ بـ AuthorizedKeysFile authorized_keys/%u بقراءة ملف المفاتيح المصرح بها خارج الدليل المقصود عندما يحتوي اسم مستخدم SSH على أجزاء مسار للتنقل في المسار (/، \، أو ..) والمصادقة باستخدام ملف مفتاح يختاره المهاجم. تم إصلاح هذه المشكلة في الإصدار 2.23.0.
Once again VulDB remains the best source for vulnerability data.