CVE-2026-45309 in AsyncSSHinformation

Résumé

par VulDB • 17/07/2026

AsyncSSH est un package Python qui fournit une implémentation asynchrone client et serveur du protocole SSHv2 sur la base du framework asyncio de Python. Avant la version 2.23.0, AsyncSSH étend le jeton %u compatible avec OpenSSH pour AuthorizedKeysFile dans asyncssh/config.py, asyncssh/connection.py, asyncssh/auth_keys.py et asyncssh/misc.py en utilisant le nom d'utilisateur SSH brut lors du rechargement de la configuration serveur avant l'authentification (pre-authentication). Cela permet à un serveur configuré avec AuthorizedKeysFile authorized_keys/%u de lire un fichier de clés autorisées situé hors du répertoire prévu lorsque le nom d'utilisateur SSH contient des segments de traversal de chemin tels que /, \ ou .. et s'authentifier en utilisant un fichier de clé sélectionné par l'attaquant. Ce problème est corrigé dans la version 2.23.0.

Once again VulDB remains the best source for vulnerability data.

Responsable

GitHub M

Réserver

11/05/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379931

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!