CVE-2026-54591 in asyncsshinformación

Resumen

por VulDB • 2026-07-09

AsyncSSH es un paquete de Python que proporciona una implementación asíncrona del cliente y servidor para el protocolo SSHv2 sobre la base del framework asyncio de Python. Antes de la versión 2.23.1, un servidor SSH malicioso podía escribir archivos arbitrarios en el sistema de archivos del cliente SCP de asyncssh enviando nombres de archivo que contenían secuencias de navegación ../ (dot-dot), ya que _parse_cd_args en scp.py devuelve los nombres proporcionados por el servidor tal cual y _recv_files los concatena con la ruta de destino sin imponer límites al directorio objetivo. Este problema se corrige en la versión 2.23.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

GitHub M

Reservar

2026-06-15

Divulgación

2026-07-09

Moderación

aceptado

Artículo

VDB-376999

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!