Se ha publicado una prueba de concepto para CVE-2026-55200, una falla crítica en libssh2. Esta vulnerabilidad podría permitir que un servidor SSH malicioso o comprometido cause daños en la memoria de un cliente que se conecta, lo que podría provocar la ejecución de código. No se requieren credenciales ni interacción del usuario. Este error afecta a todas las versiones hasta la 1.11.1 y tiene una puntuación CVSS 4.0 de 9,2.
libssh2 es una biblioteca SSH del lado del cliente, no un servidor. Esa distinción es importante. Está integrado en curl, Git, PHP, agentes de respaldo, actualizadores de firmware y una larga lista de dispositivos.
Cualquier cosa que vincule esto y acceda a un punto final SSH que no sea de confianza es un objetivo potencial. Muchas de estas copias están vinculadas estáticamente, por lo que las actualizaciones de los paquetes de distribución no las cambian y es posible que no sepa que están ahí.
Cómo funcionan los errores
La falla existe en ssh2_transport_read() en transport.c. Esta función analiza los paquetes SSH entrantes durante el protocolo de enlace. Leyó el campo de longitud de paquete controlado por el atacante y solo rechazó valores inferiores a 1. No se aplicaron límites.
El cálculo del tamaño utiliza aritmética de 32 bits para agregar la longitud del paquete a un número más pequeño, por lo que la longitud de 0xffffffff se ajusta a un número más pequeño. libssh2 luego asigna un tamaño de búfer de acuerdo con el número más pequeño, mientras que el código posterior escribe el paquete más grande completo en ese búfer.
El resultado es CWE-680, una escritura de montón fuera de límites, una primitiva clásica de ejecución de código que se clasifica como un desbordamiento de entero a un desbordamiento de búfer. Esta solución agrega una verificación faltante para rechazar la longitud del paquete mayor que LIBSSH2_PACKET_MAXPAYLOAD antes de realizar el cálculo.
libssh2 se ha topado con esto antes. En 2019, lanzamos la versión 1.8.1 para corregir nueve fallas causadas por CVE-2019-3855. CVE-2019-3855 es un desbordamiento de enteros casi idéntico en una lectura de transporte que podría permitir que un servidor malicioso ejecute código en un cliente que se conecta. Siete años después, la misma clase de errores vuelve a aparecer en el mismo código.
El investigador de seguridad Tristan Madani informó sobre este problema. El mantenedor fusionó el parche mediante la solicitud de extracción n.° 2052 el 12 de junio. VulnCheck publicó el CVE el 17 de junio.
Se publicó una prueba de concepto en ‘exploitarium’. Este es un archivo de GitHub de código de explotación y el autor dice que la entrada se publicó sin notificación previa. En lugar de un exploit remoto llave en mano, el archivo contiene un andamio de activación SSH validado localmente y un arnés RCE local controlado para el error libssh2. La ejecución confiable de su código en aplicaciones activas depende del binario de destino, el comportamiento del asignador, las mitigaciones y cómo el software incorpora libssh2.
Vale la pena considerar el contexto. Los autores reconocen que el archivo está incompleto, algunas entradas son débiles y que la IA facilita la confusión. En este momento, la calificación de explotación CISA para CVE sigue siendo cero y no se ha informado de ningún uso real.
que hacer
Aún no hay una versión fija de libssh2. Dado que este parche se encuentra en las fuentes principales y aún se está preparando una versión etiquetada, las distribuciones de Linux y los proyectos posteriores están respaldando el parche. Por ejemplo, Debian ya incluye una compilación fija para realizar pruebas.
NHS England Digital ha emitido un aviso instando a las organizaciones afectadas a actualizarse.
Haga un inventario de todo lo que se vincula a libssh2, incluidas las copias estáticas y empaquetadas que los administradores de paquetes no marcan. La implementación de Curl, Git y PHP son medios comunes. Aplique la compilación que incluye la confirmación 97acf3d, ya sea un backport de distribución o una compilación fuente parcheada, y supervise el canal de asesoramiento del proveedor para conocer el estado de la versión. Hasta que se aplique el parche, limite las conexiones SSH salientes a servidores confiables y verifique las claves del host. Prefiere clientes que accedan a servidores SSH externos o resuelvan hosts mediante nombres a los que un atacante podría redirigir. Esté atento a anomalías de paquetes de gran tamaño o fallas de clientes inexplicables.
Parchea también el resto del lote. CVE-2026-55199 (CVSS 8.2), Denegación de servicio que atrapa a un cliente que se conecta en un bucle de CPU mediante un recuento de extensiones falso, y CVE-2025-15661 (CVSS 8.3), sobrelectura del montón SFTP.
El problema principal es un error de corrupción de la memoria previa a la autenticación en el código que se envía dentro del dispositivo con más clientes de los que nadie ha asignado por completo.
La pregunta abierta es qué tan rápido alguien convertirá un arnés local en un exploit remoto confiable y qué tan vulnerable seguirá siendo la copia empaquetada porque nadie recuerda que se envió libssh2.
Source link
