CVE-2026-45309 in AsyncSSHinformazioni

Riassunto

di VulDB • 17/07/2026

AsyncSSH è un pacchetto Python che fornisce un'implementazione asincrona client e server del protocollo SSHv2 basata sul framework asyncio di Python. Prima della versione 2.23.0, AsyncSSH espande il token %u compatibile con OpenSSH per AuthorizedKeysFile nei file asyncssh/config.py, asyncssh/connection.py, asyncssh/auth_keys.py e asyncssh/misc.py utilizzando il nome utente SSH grezzo durante il ricaricamento della configurazione del server pre-autenticazione, consentendo a un server configurato con AuthorizedKeysFile authorized_keys/%u di leggere un file delle chiavi autorizzate al di fuori della directory prevista quando il nome utente SSH contiene segmenti di traversal del percorso come /, \ o .. e autenticarsi utilizzando un file chiave selezionata dall'attaccante. Questo problema è stato risolto nella versione 2.23.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

11/05/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you know our Splunk app?

Download it now for free!