Katalog CVE

CVE-2026-48108

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 31 — wyżej niż 31% wszystkich znanych CVE

Streszczenie

Russh to biblioteka SSH w języku Rust, która w wersjach od 0.34.0-beta.1 do przed wersją 0.61.0 nie egzekwowała zasad dotyczących identyfikacji SSH tak rygorystycznie jak OpenSSH. Problem ten pozwalał na przyjmowanie nieprawidłowych linii identyfikacyjnych przez serwer, co mogło prowadzić do wykorzystania zasobów połączenia w fazie wstępnej autoryzacji.

Ocena ryzyka

Organizacje korzystające z russh mogą być narażone na ataki, które wykorzystują nieprawidłowe dane identyfikacyjne, co może prowadzić do wyczerpania zasobów serwera i potencjalnych problemów z bezpieczeństwem.

Rekomendacja

Zaleca się aktualizację do wersji 0.61.0 lub nowszej, aby usunąć tę podatność oraz wdrożenie dodatkowych mechanizmów monitorowania i zabezpieczeń dla serwerów opartych na russh.

Oryginalny opis (angielski, źródło NVD)

Russh is a Rust SSH client & server library. From version 0.34.0-beta.1 to before version 0.61.0, russh did not enforce the SSH identification-string rules as deliberately as OpenSSH. In particular, the server-side identification reader used the same permissive path as the client, allowing pre-banner lines from clients, and the reader did not enforce a bounded number of pre-banner lines. For a library server built on russh, this could allow a remote peer to hold connection setup resources in the cleartext pre-authentication phase with malformed identification input that should have been rejected early. This issue has been patched in version 0.61.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS