CVE-2026-55199
Moderat

CVE-2026-55199: libssh2 sårbarhed rammer SSH-klienter

Sårbarhed i libssh2 lader en ondsindet SSH-server fryse din software i over et minut ved at udnytte en fejl under opkobling.

CVSS Score
5.9
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér inden for 30 dage

Hvad er det?

libssh2 er et udbredt programbibliotek (en kodefil som andre programmer bruger), der håndterer sikre SSH-forbindelser. I versioner op til og med 1.11.1 er der en fejl i den del af koden, der behandler en bestemt besked under opbygningen af en SSH-forbindelse — kaldet SSH_MSG_EXT_INFO.

En ondsindet SSH-server kan sende et manipuleret tal til klientens software, som får programmet til at sidde fast i en uendelig beregningssløjfe (en tight CPU loop) i over 60 sekunder. Fejlen opstår, fordi programmet ikke tjekker svaret fra en intern funktion korrekt, og fordi sessionens normale timeout ikke virker, når processoren er bundet i en sådan løkke.

Hvem rammer det?

Sårbarheden rammer virksomheder og udviklere, der bruger software som internt anvender libssh2-biblioteket til at oprette SSH-forbindelser — f.eks. backup-løsninger, deploymentværktøjer, FTP-klienter med SFTP-understøttelse eller egne udviklet applikationer. Hvis din virksomhed bruger programmer, der automatisk forbinder til eksterne servere via SSH, kan du potentielt være berørt. Slutbrugere der kun anvender standard kommandolinje-SSH (OpenSSH) er ikke berørt af denne specifikke sårbarhed.

Hvad kan ske?

En angriber der kontrollerer eller kompromitterer en SSH-server, som dine systemer forbinder til, kan sende en manipuleret pakke. Det får din klients CPU (processor) til at arbejde på fuld kapacitet i over 60 sekunder per forsøg. Konsekvenserne kan være:

  • Systemet der kører libssh2-klienten bliver uresponsivt eller meget langsomt.
  • Automatiserede processer som backup, filoverførsler eller deployments stopper op.
  • Gentagende angreb kan holde systemet permanent utilgængeligt (Denial of Service).
  • Der er ingen risiko for datatyveri — angrebet påvirker udelukkende tilgængelighed, ikke fortrolighed eller integritet af data.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 5.9 (Moderat). Angrebet kræver høj kompleksitet — angriberen skal kontrollere eller forfalske en SSH-server, som offeret aktivt forbinder til. Det gør det sværere at udnytte end mange andre sårbarheder. Til gengæld kræves hverken login eller brugerinteraktion fra offerets side. Påvirkningen er begrænset til tilgængelighed (CPU-udtømning) og ikke datatab eller -tyveri. For de fleste SMV’er er risikoen moderat, men bør ikke ignoreres — særligt hvis I har automatiserede systemer der forbinder til eksterne SSH-servere.

Hvad gør jeg nu?

Følg disse trin for at håndtere sårbarheden:

  1. Identificér om du er berørt: Tjek om din virksomhed bruger software der er afhængig af libssh2 (f.eks. FileZilla, WinSCP, curl, Ansible, eller egne applikationer). Spørg din IT-leverandør eller udvikler hvis du er usikker.
  2. Opdatér libssh2: Sørg for at opdatere libssh2 til en version der indeholder commit 1762685 — dette er den officielle rettelse. Kontakt din softwareleverandør og bed dem bekræfte, at de bruger en rettet version.
  3. Opdatér afhængige programmer: Programmer der bruger libssh2 internt (f.eks. backup-software, deploymentværktøjer) skal også opdateres, så de benytter den rettede version af biblioteket.
  4. Vurder dine SSH-forbindelser: Gennemgå hvilke eksterne SSH-servere jeres systemer automatisk forbinder til. Sørg for, at I kun forbinder til servere I stoler på og kontrollerer.
  5. Hold øje med opdateringer: Følg med i opdateringer fra dine softwareleverandører og sørg for at patch-processen sker løbende.
Tidsfrist

Opdatér inden for 30 dage

Sådan ser Auroa det

Vi anbefaler, at du inden for de næste 30 dage identificerer al software i din virksomhed der bruger libssh2, og sikrer at det er opdateret til en version med rettelsen fra commit 1762685. Risikoen er moderat — angrebet kræver, at en angriber kontrollerer en server I forbinder til — men automatiserede systemer der henter filer eller kører scripts via SSH bør prioriteres. Kontakt din IT-leverandør og bed dem gennemgå og opdatere relevante systemer.

Tidslinje

17/06/2026
CVE offentliggjort
CVE-2026-55199 blev officielt registreret i NVD og offentliggjort med en CVSS-score på 5.9 (Moderat).
17/06/2026
Rettelse tilgængelig (commit 1762685)
libssh2-projektet udgav en rettelse i form af commit 1762685 i kildekoden, som løser fejlen i SSH_MSG_EXT_INFO-håndteringen.
17/06/2026
Proof-of-concept tilgængeligt
Sårbarheden er tilstrækkelig veldokumenteret til at proof-of-concept kode kan konstrueres ud fra den offentliggjorte beskrivelse af angrebet.
18/06/2026
Downstream softwareleverandører begynder opdatering
Projekter og produkter der afhænger af libssh2 forventes at begynde at udgive opdateringer der inkorporerer rettelsen fra commit 1762685.

Konkrete eksempler

Automatisk backup stoppes af ondsindet server

En virksomhed bruger et backup-program der sender filer til en ekstern SFTP-server via libssh2. En angriber der har kompromitteret den eksterne server sender en manipuleret SSH_MSG_EXT_INFO-pakke med en ekstrem extensions-tæller under forbindelsesopbygningen. Backup-programmet går i en CPU-løkke i over 60 sekunder, og backupjobbet fejler. Gentages angrebet, udebliver backups i dagevis uden at nogen opdager det.

Deploymentværktøj lægges ned under udgivelse

Et udviklingshold bruger et automatiseret deploymentværktøj (f.eks. Ansible eller et CI/CD-system) der logger ind på servere via SSH med libssh2. En angriber der sidder i samme netværkssegment som målserveren forfalsker SSH-serverens svar under key exchange og sender en ugyldig extensions-tæller. Deploymentværktøjets server hænger i over et minut, og udgivelsen af ny software forsinkes eller fejler — særligt kritisk ved akutte sikkerhedsopdateringer.

Webshop-integration til ekstern leverandør afbrydes

En webshop bruger et PHP-baseret plugin der via libcurl (som kan anvende libssh2) henter lagerstatus fra en ekstern leverandørs SFTP-server. En ondsindet aktør der har adgang til leverandørens netværk manipulerer SSH-handshake-processen, og shopens server bruger al sin CPU-kapacitet i gentagne forsøg. Webshoppen oplever alvorlig ydeevneforringelse og kunderne ser fejlmeddelelser — indtil forbindelsen opgives og libssh2 er opdateret.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
HIGH
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
NONE
Integrity
NONE
Availability
HIGH

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H

CWE-svaghedstyper

CWE-835

Original NVD-beskrivelse (engelsk)

libssh2 through 1.11.1, fixed in commit 1762685, contains a pre-authentication denial of service vulnerability in the SSH_MSG_EXT_INFO handler in src/packet.c that allows a malicious SSH server to cause a client CPU exhaustion loop by sending a crafted extension count value. A malicious server can set nr_extensions to 0xFFFFFFFF during key exchange, causing the client to spin in a tight CPU loop for over 60 seconds because return values from _libssh2_get_string() are unchecked and the session timeout does not apply to CPU-bound loops.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
5.9
Visning
Hurtige fakta
CVE-ID
CVE-2026-55199
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér inden for 30 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.