
libssh2 重大漏洞 PoC 公開:自動部署同備份工具要查清依賴
官方已合併修補,正式新版暫時未出,風險喺連去 SSH server 嘅工具鏈。
PoC 公開,問題唔止係「有人放 code」
iThome 報道,匿名研究員以 bikini 帳號喺 GitHub 放出 Exploitarium,入面有一批漏洞研究同 PoC;iThome 引 Infosecurity Magazine 指,牽涉至少 30 個軟件產品同開源項目,作者仲聲稱發表前冇先通知維護者。呢種做法最麻煩嘅位,係 PoC 一公開,守方同攻方同時攞到方向。匿名人有幾出位唔值得花太多篇幅;較貼身嘅位係 libssh2 呢種底層 library 好多時藏喺工具入面,普通資產盤點未必一眼見到。另外要分清:Infosecurity 寫,bikini 放 PoC;但 CVE-2026-55200 嘅正式披露渠道係 VulnCheck,credit 落喺 Tristan Madani。兩條線混埋咗,就好易以為成個漏洞通報都係 GitHub repo 帶出。
libssh2 個漏洞實際係乜
libssh2 官方首頁講明,佢係 client-side C library,畀其他軟件加 SSH2 功能,亦支援 SFTP 同 SCP。今次 CVE-2026-55200 係 SSH packet 長度檢查出事:NVD 同 VulnCheck 都寫到 libssh2 1.11.1 同之前版本受影響,CVSS v4.0 分數係 9.2。上游喺 6 月 12 日合併 PR #2052,commit 97acf3d 加返長度上限檢查;不過截至 2026 年 7 月 6 日,libssh2 官方下載頁同 GitHub 最新 release 仍然停喺 2024 年 10 月出嘅 1.11.1。
攻擊面喺 client,唔好淨係望住 22 port
libssh2 屬於 client library,OpenSSH server 本身係另一套 code base。公司部 server 開住 22 port,單靠呢點唔代表中招;先要查邊啲工具會主動連去 SSH/SFTP server,同埋底層有冇用 libssh2。惡意或者已經失守嘅 SSH server,可以喺登入前送出有問題嘅 packet,觸發 client 端 memory corruption,後果可以由 crash 去到攻擊者喺受影響 process 入面行 code。PoC 公開亦唔等於每個 app 都即刻有穩定 RCE,實際可唔可以打得入,要睇 app 點連結 library、OS 保護同 allocator 行為。
最易漏係 SFTP、備份同開發工具
好多公司維運仍然靠 SSH 同 SFTP。網店同 agency 會用 SFTP 交檔、部署;內部備份 agent 會定時連去 NAS、供應商 server 或者雲端主機;有啲 Git GUI、用 libgit2 嘅工具同 PHP ssh2 extension 亦可能拉到 libssh2。最易漏係 vendor 包咗入去嘅靜態 library:你更新 OS package,未必補到 app 自己帶住嗰份。今次最實際嘅坑係你以為冇用嘅 library,可能喺另一個工具入面靜靜幫你連線;SSH 協議本身唔係突然變咗唔可信。
修補要睇來源,唔好淨係睇版本字串
第一步係列清楚邊度有 libssh2:server image、container image、desktop deployment tool、NAS/backup agent、PHP extension、Git GUI,同 vendor appliance 都要問。第二步睇來源:如果係 distro package,就跟 Debian、Ubuntu、Red Hat 或者供應商 advisory 升;如果係自己 build 或者第三方 app,要問供應商係咪已經拉咗 97acf3d 或者相應 backport。正式上游新版未出之前,唔好淨係盯住版本字串;有啲修補會用 backport,version 仍然似舊版。
短期先收窄連線
短期做法好實際:自動化任務只准連去可信 SSH/SFTP 連線目標,檢查 known_hosts 或者 host key pinning,停走唔再用嘅供應商連線,CI/CD deploy key 同備份憑證都順手睇返。暫時唔好用受影響工具連陌生或者新交接嘅 SFTP server;如果生意流程一定要用,就擺隔離環境跑,權限拆細,出事都唔好俾一個 client process 摸到成個內網。
跟住睇正式 release 同供應商 backport
接落嚟要睇兩樣:libssh2 幾時出正式安全 release,同主要 distro / vendor 點標示自己嘅 backport。iThome 報道講到 PoC 公開同未通報呢條線,呢點值得關注,不過維運上最急嘅動作好清楚:搵出環境入面有冇會連出 SSH/SFTP 嘅 libssh2 client。搵到就補,補唔到就先限連線範圍;呢件事唔使恐慌,但唔應該放到下個月先理。
參考來源
- iThome — 研究人員未通報開發單位即公開PoC,涉及SSH函式庫libssh2重大漏洞 — original report
- Infosecurity Magazine:Researcher Behind 'Exploitarium' Explains Release of Undisclosed Zero-Day Exploits — 確認 Exploitarium 公開 PoC、未先通知維護者、同 CVE-2026-55200 披露脈絡。
- libssh2 official site — 確認 libssh2 係 client-side SSH2 C library、支援 SFTP/SCP,同官方最新下載版。
- NVD:CVE-2026-55200 Detail — 確認漏洞描述、CVSS v4.0 9.2 分、受影響版本同攻擊面。
- VulnCheck:libssh2 - Out-of-Bounds Write via Unchecked packet_length in transport.c — CNA advisory,確認 CVE、嚴重度、credit 同修補參考。
- GitHub:libssh2 pull request #2052 — 確認上游已合併 packet length 邊界檢查,merge 日期同 commit。
- oss-sec:libssh2 CVE discussion — 確認多個 libssh2 CVE、修補已入 mainline,同正式 release 仍準備中。
- Arctic Wolf:Critical Remote Code Execution Vulnerability in libssh2 Client Library Require Urgent Mitigation — 背景:client-side 風險、常見內嵌工具、靜態連結同修補難點。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







