CVE-2026-45309 in AsyncSSHinfo

Zusammenfassung

von VulDB • 17.07.2026

AsyncSSH ist ein Python-Paket, das eine asynchrone Client- und Serverimplementierung des SSHv2-Protokolls auf Basis des Python asyncio-Frameworks bereitstellt. Vor Version 2.23.0 erweitert AsyncSSH den OpenSSH-kompatiblen AuthorizedKeysFile %u-Token in asyncssh/config.py, asyncssh/connection.py, asyncssh/auth_keys.py und asyncssh/misc.py während der Neuladen der Serverkonfiguration vor der Authentifizierung mit dem rohen SSH-Benutzernamen. Dies ermöglicht es einem Server, der mit AuthorizedKeysFile authorized_keys/%u konfiguriert ist, eine authorized-keys-Datei außerhalb des beabsichtigten Verzeichnisses zu lesen, wenn der SSH-Benutzername Pfadtraversierungssegmente wie /, \ oder .. enthält und sich mit einer vom Angreifer ausgewählten Schlüsseldatei authentifiziert. Dieses Problem wurde in Version 2.23.0 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

GitHub M

Reservieren

11.05.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379931

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!