CVE-2025-4878
NiskieCVSS 3.6Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 8 — wyżej niż 8% wszystkich znanych CVE
Streszczenie
W bibliotece libssh znaleziono podatność polegającą na użyciu niezainicjalizowanej zmiennej w funkcji privatekey_from_file(). Problem występuje, gdy podany plik nie istnieje, co może prowadzić do błędów podpisywania lub uszkodzenia sterty.
Ocena ryzyka
Ryzyko obejmuje potencjalne uszkodzenie pamięci (heap corruption) oraz nieprzewidywalne zachowanie przy podpisywaniu, co może skutkować awarią usług lub naruszeniem integralności danych.
Rekomendacja
Zaleca się aktualizację biblioteki libssh do najnowszej wersji zawierającej poprawkę oraz weryfikację, czy aplikacje korzystające z libssh są poprawnie zabezpieczone przed tą podatnością.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was found in libssh, where an uninitialized variable exists under certain conditions in the privatekey_from_file() function. This flaw can be triggered if the file specified by the filename doesn't exist and may lead to possible signing failures or heap corruption.

