Öffentliches PoC für CVE-2026-55200 setzt Millionen libssh2-Kunden ohne Authentifizierung einem RCE aus

Ein Repository auf GitHub, bekannt als exploitarium, hat ein funktionales Proof of Concept für CVE-2026-55200 veröffentlicht, eine Schwachstelle im Paketparser von libssh2, die die remote Codeausführung im Client ohne Anmeldedaten und ohne Benutzerinteraktion ermöglicht. Die Veröffentlichung des PoC, die am Montag (29.) registriert wurde, erhöht den Dringlichkeitsgrad für eine Schwachstelle, die seit der Veröffentlichung des CVE durch VulnCheck am 17. Juni als mittlere Priorität behandelt wurde. Der zugewiesene CVSS 4.0 Wert beträgt 9.2.

Der Fehler liegt in der Funktion ssh2_transport_read, die das Feld packet_length in empfangenen SSH-Paketen nicht validiert. Das Fehlen einer Obergrenze führt dazu, dass ein übertriebenen Wert einen integer overflow provoziert und einen Schreibzugriff außerhalb der Grenzen im Heap ermöglicht. Von dort ist der Weg zur Überschreibung benachbarter Strukturen ein direkter Übungsfall für diejenigen, die libssh2 kennen. Der Forscher Tristan Madani meldete den Fehler den Maintainers, die die Korrektur durch den Pull-Request 2052 am 12. Juni implementierten. Auch die Version 1.11.1 enthält den Bug. Nur das Commit 7acf3df und spätere Versionen sind fehlerfrei.

Wo libssh2 eingebaut ist

Das technische Unbehagen des Tages ist die Topologie der Exposition. libssh2 ist keine Bibliothek, die von einigen SSH-Servern verwendet wird. Sie ist statisch in curl, Git, PHP, Dutzenden von Backup-Agenten, Firmware-Provisionierungstools und einem erheblichen Teil der Netzwerkappliances eingebettet, die SSH-Client-Kapazitäten benötigen, um Inventare zu sammeln. Jeder Client, der eine Verbindung zu einem nicht vertrauenswürdigen SSH-Server herstellt, fällt in den Geltungsbereich, einschließlich CI-Pipelines, die Artefakte über SCP abrufen, Runner, die private Mirrors synchronisieren, und Observabilitäts-Systeme, die Metriken von Remote-Hosts sammeln.

Die Anzahl der öffentlichen Images im Docker Hub, die libssh2 verwundbar verlinken, überschreitet sechs Ziffern. CloudLinux hat bereits am Sonntag (28.) ein Advisory veröffentlicht, das libssh2 und alt-libssh2 in CVE-2026-55200, CVE-2026-55199 und CVE-2025-15661 abdeckt. Red Hat und Canonical haben gepatchte Pakete im stabilen Kanal. Basis-Images von Debian slim, Alpine und Amazon Linux 2023 erhielten am Sonntag und Montag Builds mit der Korrektur. Das Problem ist nicht die Verfügbarkeit des Patches. Das Problem ist der Tail von Drittanbietersoftware, die in der Regel proprietär ist und Wochen benötigt, um verpackt und verteilt zu werden.

Die Lesart für SOC und GRC

Für das SOC ist das Playbook klassisch für eine Schwachstellenkette: SBOM gegen öffentliche Repositories betroffener Versionen ausführen, die Teilmenge identifizieren, die libssh2 1.11.1 einschließlich enthält, Erkennungsregeln erstellen, die nach SSH-Verbindungen suchen, deren Client-Banner libssh2 ausgehandelt hat, und Arbeitslasten von CI, die von externen Quellen klonen, isolieren. Für das GRC ist das Schwierigste das andere: Appliances, die vor fünf Jahren gekauft wurden, deren Anbieter bereits den Support eingestellt hat, und die ersetzt oder in ein segregiertes Netzwerk gesetzt werden müssen. Die Grenze zwischen patchbar und entsorgbar verändert die Budgetplanung für 2027.

Die Auswirkungen des PoC

Die Verfügbarkeit eines funktionalen Exploits verkürzt den Zyklus. CVE-2026-55200 hatte zwischen dem 17. und 27. Juni eine diskrete Abdeckung, da die Komplexität der Ausnutzung als mittel eingeschätzt wurde. Der Autor von exploitarium, der Einträge ohne vorherige Abstimmung mit Forschern veröffentlicht, stellte eine Probe zur Verfügung, die in einer einzigen Verbindung zu einem kontrollierten Server eine Shell ermöglicht. Solche Fälle sehen oft eine Waffengenerierung durch Cyberkriminalitätsgruppen innerhalb von 48 bis 72 Stunden. Das Zeitfenster, in dem die verantwortlichen Teams für Endpunkte die Patch-Warteschlange schließen müssen, nutzt den Rest des Junis aus.

Wo der Einfluss ankommt

Im deutschen und britischen Finanzsektor haben die Plattformteams der Deutsche Bank, Commerzbank und Barclays bereits interne Advisorys erhalten, die den Fall als kritisch einstufen, laut internen Notizen, die in DevSecOps-Praktiker-Listen zirkulierten. Die Frage, die im Vereinigten Königreich wiegt, ist der Status der PRA: der Regulator verlangt ein aktuelles Inventar von Open-Source-Komponenten in Zahlungs-Workloads, und das Zeitfenster, um eine Eindämmung nachzuweisen, ist kurz.

In Brasilien zielt der Vektor auf Fintechs, die CI-Pipelines in GitHub Actions oder selbstgehostetem GitLab ausführen, und Banken mit SSH-basierten Inventarsystemen für On-Premises-Datacenter. Itaú, Bradesco, Santander Brasil und BTG sind direkte Kandidaten für eine Prüfung der Runner-Flotte. Die lokale Regulierung ergänzt: Die Gemeinsame Resolution 6 der Zentralbank und CMN behandelt Softwareketten als risikomanagementfähiges Gut, und der Vorfallbericht, sofern er eintritt, wird je nach Segment an die Susep oder die BC gesendet.

Was CVE-2026-55200 besonders macht, ist nicht die Schwere, sondern die Tiefe. Der Fehler befindet sich in Bibliotheken, die auf drei Viertel des Unternehmens-Linux-Server-Parks der Welt laufen, und das funktionale PoC wurde veröffentlicht, bevor die meisten Appliance-Anbieter die Korrektur in die Warteschlange stellen konnten.