Libssh2

Uma nova vulnerabilidade crítica, identificada como CVE-2026-55200, foi descoberta na biblioteca libssh2, que é amplamente utilizada em diversas aplicações como curl, Git e PHP. Essa falha permite que um servidor SSH malicioso ou comprometido cause corrupção de memória em um cliente que se conecta a ele, potencialmente levando à execução de código sem a necessidade de credenciais ou interação do usuário. A vulnerabilidade afeta todas as versões até a 1.11.1 e possui um índice CVSS de 9.2, indicando um alto nível de severidade. O problema reside na função ssh2_transport_read(), que não impõe um limite superior ao campo packet_length, resultando em um estouro de buffer. Embora um patch tenha sido desenvolvido e esteja disponível no código-fonte principal, ainda não há uma versão oficial corrigida. Organizações afetadas são aconselhadas a atualizar suas implementações e restringir conexões SSH a servidores confiáveis até que a correção seja aplicada. A situação é preocupante, pois a libssh2 é incorporada em muitos produtos e serviços, e a falta de conscientização sobre sua presença pode deixar sistemas vulneráveis.