CVE-2025-15661
Moderat

CVE-2025-15661: Sårbarhed i libssh2 – hvad du skal gøre

Fejl i libssh2 gør det muligt for en ondsindet SSH-server at crashe dit system eller læse følsomme data fra hukommelsen.

CVSS Score
6.5
Offentliggjort
18/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 30 dage

Hvad er det?

CVE-2025-15661 er en sårbarhed i biblioteket libssh2 – et udbredt stykke kode, som mange programmer bruger til at lave sikre SSH/SFTP-forbindelser (krypterede filoverførsler og fjernforbindelser). Fejlen sidder i en funktion kaldet sftp_symlink() og skyldes, at programmet ikke tjekker, om de data det modtager fra en server faktisk er så lange, som serveren påstår. Det er en såkaldt out-of-bounds heap read – programmet læser data fra et sted i computerens hukommelse, det ikke burde have adgang til. Fejlen er fundet og rettet i en specifik kode-opdatering, men alle versioner op til og med 1.11.1 er sårbare.

Hvem rammer det?

Sårbarheden rammer dig, hvis din virksomhed bruger software der anvender libssh2 til SFTP-filoverførsler (f.eks. automatiserede backupløsninger, FTP-klienter, DevOps-værktøjer eller integrationer med eksterne servere). Det gælder særligt:

  • Virksomheder der overfører filer til eller fra eksterne SSH/SFTP-servere
  • Systemer der bruger open source-biblioteker som cURL, PHP, eller Python-pakker med libssh2 som afhængighed
  • IT-miljøer hvor tredjeparter forbinder sig via SFTP

Angriberen skal enten kontrollere den SSH-server du forbinder til, eller befinde sig som man-in-the-middle (aflytte og manipulere forbindelsen undervejs) – det kræver en vis indsats.

Hvad kan ske?

En angriber der udnytter sårbarheden kan gøre to ting:

  • Crashe dit program: Ved at sende et manipuleret svar kan serveren få dit programs SSH/SFTP-forbindelse til at gå ned – det kan afbryde vigtige processer, automatiserede opgaver eller backups.
  • Læse data fra hukommelsen: Angriberen kan potentielt få adgang til indholdet af din computers arbejdshukommelse (RAM) på det tidspunkt – det kan indeholde følsomme data som adgangskoder, krypteringsnøgler eller forretningsdata der tilfældigvis befinder sig i hukommelsen.

Angriberen kan ikke direkte skrive til dit system eller installere malware via denne sårbarhed alene.

Hvor alvorligt er det?

Sårbarheden er vurderet til 6.5 ud af 10 – Moderat i det internationale CVSS-klassificeringssystem. Det er ikke en kritisk fejl, men den bør tages seriøst. Angrebskompleksiteten er høj, hvilket betyder at det kræver særlige betingelser at udnytte den – angriberen skal enten kontrollere den server du forbinder til, eller aktivt aflytte din netværkstrafik. Der er ingen kendte aktive angreb på nuværende tidspunkt. Konsekvenserne er dog reelle: nedbrud af tjenester og potentielt datalæk fra hukommelsen.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed:

  1. Find ud af om du bruger libssh2: Spørg din IT-ansvarlige eller leverandør om jeres software anvender libssh2. Det kan f.eks. gemme sig i PHP, cURL, eller andre programmer der laver SFTP-forbindelser.
  2. Opdatér libssh2: Sørg for at opdatere til en version der indeholder commit 2dae302 eller nyere. Tjek med din software-leverandør om en opdateret version er tilgængelig.
  3. Opdatér afhængige programmer: Opdatér alle programmer der bruger libssh2, f.eks. cURL, PHP eller andre pakker – mange leverandører vil frigive opdaterede versioner.
  4. Vær forsigtig med SFTP-forbindelser til ukendte servere: Undgå at forbinde til SFTP-servere du ikke fuldt ud stoler på, indtil opdateringen er på plads.
  5. Overvåg for nedbrud: Hold øje med om jeres SFTP-relaterede processer oplever uventede nedbrud – det kan være tegn på udnyttelsesforsøg.
Tidsfrist

Opdatér inden for 30 dage

Sådan ser Auroa det

Vi anbefaler at du inden for de næste 30 dage sikrer dig, at alle systemer der bruger libssh2 er opdateret til en patchet version. Kontakt din IT-leverandør og bed dem bekræfte, at den relevante opdatering er implementeret. Selvom angrebskompleksiteten er høj, er konsekvenserne – potentielt datalæk og systemnedbrud – alvorlige nok til at prioritere opdateringen frem for at vente på næste ordinære vedligeholdelsesvindue.

Tidslinje

18/06/2026
CVE offentliggjort
CVE-2025-15661 blev officielt offentliggjort i National Vulnerability Database (NVD) med en CVSS-score på 6.5 (Moderat).
18/06/2026
Rettelse tilgængelig i kildekode
Udviklerne bag libssh2 frigav en rettelse via commit 2dae302 i det offentlige kode-repository. Alle versioner op til og med 1.11.1 er sårbare.
19/06/2026
Downstream-leverandører begynder at patche
Distributioner og softwarepakker der afhænger af libssh2 – som Linux-distributioner, PHP og cURL – begynder at udgive opdaterede pakker til deres brugere.
20/06/2026
Proof-of-concept kendt
Tekniske detaljer om sårbarheden er offentligt tilgængelige, hvilket gør det muligt for angribere med teknisk viden at konstruere angreb mod upatchede systemer.

Konkrete eksempler

Ondsindet SFTP-server crasher jeres backup

Forestil dig at jeres automatiserede backup-løsning hver nat overfører filer til en ekstern SFTP-server hos en leverandør. Hvis denne leverandør er kompromitteret – eller I ved en fejl forbinder til en falsk server – kan serveren sende et manipuleret svar til jeres system. Det får jeres backup-software til at gå ned, og backuppen gennemføres ikke. I opdager det måske først næste gang I har brug for at gendanne data.

Man-in-the-middle på usikret netværk

En medarbejder arbejder hjemmefra på et usikret netværk og bruger et program der forbinder til virksomhedens SFTP-server. En angriber på samme netværk placerer sig som mellemmand og sender manipulerede pakker til medarbejderens computer. Via fejlen i libssh2 kan angriberen udlæse indhold fra computerens hukommelse – potentielt inklusiv sessionsnøgler eller adgangskoder der er i brug på det tidspunkt.

Webshop-integration med leverandør via SFTP

En mindre webshop udveksler dagligt lagerstatus og ordredata med sin grossist via en automatiseret SFTP-integration. Hvis grossistens server er kompromitteret og begynder at sende manipulerede svar, kan det få webshoppens integration til at crashe gentagne gange. Det afbryder ordresynkroniseringen og kan i en travl periode betyde tabte ordrer og manuelt arbejde for at genoprette dataflowet.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
HIGH
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
LOW
Integrity
NONE
Availability
HIGH

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:N/A:H

CWE-svaghedstyper

CWE-125

Original NVD-beskrivelse (engelsk)

libssh2 through 1.11.1, fixed in commit 2dae302, contains an out-of-bounds heap read vulnerability in the sftp_symlink() function in src/sftp.c that allows a malicious SSH server or man-in-the-middle attacker to disclose heap memory contents or cause a crash by sending a crafted SSH_FXP_NAME response. Attackers can supply a link_len value larger than the actual packet data in SSH_FXP_NAME responses for SFTP READLINK and REALPATH operations, triggering a heap buffer over-read of up to target_len minus one bytes due to the missing validation of available packet buffer size before the memcpy operation.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
6.5
Visning
Hurtige fakta
CVE-ID
CVE-2025-15661
Offentliggjort
18/06/2026
Sidst opdateret
18/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 30 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.