CVE-2026-45309 in AsyncSSH
Sumário
de VulDB • 17/07/2026
AsyncSSH é um pacote Python que fornece uma implementação assíncrona de cliente e servidor do protocolo SSHv2 sobre o framework asyncio do Python. Antes da versão 2.23.0, o AsyncSSH expande o token %u compatível com OpenSSH em AuthorizedKeysFile nos arquivos asyncssh/config.py, asyncssh/connection.py, asyncssh/auth_keys.py e asyncssh/misc.py utilizando o nome de usuário SSH bruto durante a recarga da configuração do servidor pré-autenticação, permitindo que um servidor configurado com AuthorizedKeysFile authorized_keys/%u leia um arquivo de chaves autorizadas fora do diretório pretendido quando o nome de usuário SSH contiver segmentos de travessia de caminho como /, \ ou .. e autentique-se utilizando um arquivo de chave selecionado pelo atacante. Este problema foi corrigido na versão 2.23.0.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.