来源于上游 libssh2 远程代码执行漏洞 更新时间 20260630
漏洞名称:libssh2 Client 端整数溢出漏洞
漏洞编号 :CVE-2026-55200
风险等级:高危
影响范围:libssh2 <= 1.11.1
该问题影响使用 libssh2 处理 SSH/SFTP/SCP 连接的系统或应用,包括部分 curl/libcurl、备份同步工具、远程文件传输工具、自动化脚本及三方应用等场景。
风险描述:
libssh2 高危漏洞风险,出现在 SSH 数据包读取处理逻辑中。攻击者可构造异常 SSH 数据包,在受影响客户端连接恶意或被劫持的 SSH/SFTP/SCP 服务时触发内存越界写入,可能造成相关进程崩溃;在特定条件下,存在进一步造成代码执行的风险。
该漏洞主要影响主动通过 SSH/SFTP/SCP 方式连接其他设备或服务的客户端程序。仅开启 SSH 登录服务,或未使用受影响版本 libssh2 主动连接非信任 SSH/SFTP/SCP 服务的场景,受该漏洞影响较低。
处置建议:
- 避免在 fnOS 上运行来源不可信、包含 SSH/SFTP/SCP 连接能力的 Docker 容器或三方应用
- 避免通过 fnOS 设备、虚拟机、自动化脚本或其他服务,以 SSH/SFTP/SCP 方式连接非信任设备
- 关注 fnOS 官方更新及相关应用更新,及时升级 libssh2、curl/libcurl 及相关依赖到安全版本