Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2026-54591
CVSS 8.1 — ALTO

Vulnerabilità AsyncSSH CVE-2026-54591

Pubblicato il 2026-07-08 · Fonte: NVD NIST

CVE ID
CVE-2026-54591
CVSS Score
8.1
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:H

Riassunto tecnico

La vulnerabilità CVE-2026-54591 colpisce il pacchetto Python AsyncSSH, che fornisce un'implementazione client e server del protocollo SSHv2. Prima della versione 2.23.1, un server SSH malintenzionato può scrivere file arbitrari sul filesystem del client SCP utilizzando sequenze di traversal ../. Ciò avviene a causa della funzione _parse_cd_args in scp.py, che restituisce i nomi forniti dal server senza modifiche, e della funzione _recv_files, che unisce i nomi ai percorsi di destinazione senza rispettare i confini della directory di destinazione.

Impatto

Un attaccante può sfruttare questa vulnerabilità per scrivere file arbitrari sul filesystem del client SCP, potenzialmente portando a esecuzioni di codice arbitrario o altri attacchi. I sistemi a rischio sono quelli che utilizzano il pacchetto AsyncSSH con versioni precedenti alla 2.23.1.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per mitigare questa vulnerabilità, si consiglia di aggiornare il pacchetto AsyncSSH alla versione 2.23.1 o successiva. In assenza di un aggiornamento, è possibile adottare misure di sicurezza generali come limitare l'accesso ai servizi SSH e utilizzare autenticazione a più fattori.

FAQ — Domande frequenti

Cos'è la vulnerabilità CVE-2026-54591?

La vulnerabilità CVE-2026-54591 è una vulnerabilità nel pacchetto Python AsyncSSH che consente a un server SSH malintenzionato di scrivere file arbitrari sul filesystem del client SCP

Come si verifica l'attacco?

L'attacco si verifica quando un server SSH malintenzionato invia sequenze di traversal ../ al client SCP, che vengono poi utilizzate per scrivere file arbitrari sul filesystem

Come proteggersi da CVE-2026-54591?

Per proteggersi da questa vulnerabilità, è necessario aggiornare il pacchetto AsyncSSH alla versione 2.23.1 o successiva e adottare misure di sicurezza generali come limitare l'accesso ai servizi SSH e utilizzare autenticazione a più fattori

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.