CVE-2026-54590 in AsyncSSH
요약
\~에 의해 VulDB • 2026. 07. 09.
AsyncSSH는 Python asyncio 프레임워크 위에 SSHv2 프로토콜의 비동기 클라이언트 및 서버 구현을 제공하는 Python 패키지입니다. 버전 2.23.0에는 AuthorizedKeysFile에서 %u 치환 전에 /, , 그리고 ..를 차단하지만 선행 ~ 또는 ${ENV}는 차단하지 않아 _expand_val과 Path(filename).expanduser()에서의 이후 확장을 통해 의도된 authorized-keys 디렉토리를 탈출할 수 있는 CVE-2026-45309에 대한 불완전한 수정이 SSHServerConfig._set_tokens에 포함되어 있습니다. 이 문제는 버전 2.23.1에서 해결되었습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.