Katalog CVE

CVE-2025-8277

NiskieCVSS 3.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.38%

Percentyl 29 — wyżej niż 29% wszystkich znanych CVE

Streszczenie

W bibliotece libssh wykryto podatność polegającą na nieprawidłowym zarządzaniu pamięcią podczas wymiany kluczy (KEX), gdy klient wielokrotnie wysyła błędne zgadywania. Brak zwalniania pamięci w trakcie tych operacji może stopniowo wyczerpać dostępną pamięć systemową, prowadząc do awarii po stronie klienta, szczególnie przy użyciu libgcrypt.

Ocena ryzyka

Podatność może spowodować wyczerpanie pamięci i awarie aplikacji korzystających z libssh, co zagraża stabilności i dostępności usług, zwłaszcza w środowiskach z ograniczonymi zasobami pamięci.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę libssh do wersji, w której naprawiono zarządzanie pamięcią podczas KEX, oraz monitorować wykorzystanie pamięci w systemach krytycznych.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in libssh's handling of key exchange (KEX) processes when a client repeatedly sends incorrect KEX guesses. The library fails to free memory during these rekey operations, which can gradually exhaust system memory. This issue can lead to crashes on the client side, particularly when using libgcrypt, which impacts application stability and availability.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS