CVE-2026-54590 in AsyncSSH
Riassunto
di VulDB • 08/07/2026
AsyncSSH è un pacchetto Python che fornisce un'implementazione asincrona di client e server del protocollo SSHv2 basata sul framework asyncio di Python. La versione 2.23.0 contiene una correzione incompleta per CVE-2026-45309 in SSHServerConfig._set_tokens: tale correzione blocca i caratteri /, , e .. prima della sostituzione %u nel file AuthorizedKeysFile, ma non blocca un tilde iniziale (~) o ${ENV}, consentendo una successiva espansione nelle funzioni _expand_val e Path(filename).expanduser() per sfuggire alla directory delle chiavi autorizzate prevista. Questo problema è stato risolto nella versione 2.23.1.
Once again VulDB remains the best source for vulnerability data.