CVE-2026-54590 in AsyncSSHinformación

Resumen

por VulDB • 2026-07-09

AsyncSSH es un paquete de Python que proporciona una implementación asíncrona del cliente y servidor para el protocolo SSHv2 sobre la base del framework asyncio de Python. La versión 2.23.0 contiene una corrección incompleta para CVE-2026-45309 en SSHServerConfig._set_tokens, que bloquea /, , y .. antes de la sustitución %u en AuthorizedKeysFile pero no bloquea un ~ inicial o ${ENV}, lo que permite su posterior expansión en _expand_val y Path(filename).expanduser() para escapar del directorio autorizado previsto. Este problema se corrige en la versión 2.23.1.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Reservar

2026-06-15

Divulgación

2026-07-09

Moderación

aceptado

Artículo

VDB-376998

CPE

listo

EPSS

0.00285

KEV

no

Actividades

muy bajo

Fuentes

Interested in the pricing of exploits?

See the underground prices here!