Katalog CVE

CVE-2025-4878

NiskieCVSS 3.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.18%

Percentyl 8 — wyżej niż 8% wszystkich znanych CVE

Streszczenie

W bibliotece libssh znaleziono podatność polegającą na użyciu niezainicjalizowanej zmiennej w funkcji privatekey_from_file(). Problem występuje, gdy podany plik nie istnieje, co może prowadzić do błędów podpisywania lub uszkodzenia sterty.

Ocena ryzyka

Ryzyko obejmuje potencjalne uszkodzenie pamięci (heap corruption) oraz nieprzewidywalne zachowanie przy podpisywaniu, co może skutkować awarią usług lub naruszeniem integralności danych.

Rekomendacja

Zaleca się aktualizację biblioteki libssh do najnowszej wersji zawierającej poprawkę oraz weryfikację, czy aplikacje korzystające z libssh są poprawnie zabezpieczone przed tą podatnością.

Oryginalny opis (angielski, źródło NVD)

A vulnerability was found in libssh, where an uninitialized variable exists under certain conditions in the privatekey_from_file() function. This flaw can be triggered if the file specified by the filename doesn't exist and may lead to possible signing failures or heap corruption.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS