PoC público para CVE-2026-55200 expone a millones de clientes libssh2 a RCE sin autenticación

Un repositorio en GitHub conocido como exploitarium publicó un proof of concept funcional para CVE-2026-55200, falla en el parser de paquetes de libssh2 que permite ejecución remota de código en el cliente sin credenciales y sin interacción del usuario. La divulgación del PoC, registrada el lunes (29), eleva el nivel de urgencia sobre una vulnerabilidad que se había tratado como prioridad media desde la publicación del CVE por VulnCheck el 17 de junio. El CVSS 4.0 atribuido es 9.2.

El defecto está en la función ssh2_transport_read, que no valida el campo packet_length en paquetes SSH recibidos. La ausencia de un límite hace que un valor exagerado dispare un desbordamiento de entero y escritura fuera de límites en el heap, y a partir de ahí, el camino para sobrescribir estructuras adyacentes es un ejercicio directo para quien conoce libssh2. El investigador Tristan Madani reportó la falla a los mantenedores, que introdujeron la corrección a través del pull request 2052 el 12 de junio. La versión 1.11.1 inclusive presenta el error. Solo el commit 7acf3df y versiones posteriores están limpios.

Dónde está embebido libssh2

La incomodidad técnica del día es la topología de la exposición. libssh2 no es una biblioteca utilizada por algunos servidores SSH. Está embebida de manera estática en curl, Git, PHP, decenas de agentes de backup, herramientas de aprovisionamiento de firmware y en buena parte del parque de appliances de red que requieren capacidad de cliente SSH para recolectar inventario. Cualquiera cliente que abra conexión a un servidor SSH no confiable entra en el alcance, lo que incluye pipelines de CI que extraen artefactos mediante SCP, runners que sincronizan mirrors privados, y sistemas de observabilidad que recopilan métricas de hosts remotos.

La cantidad de imágenes públicas en Docker Hub que vinculan libssh2 vulnerable supera los seis dígitos. CloudLinux ya publicó el domingo (28) un advisory cubriendo libssh2 y alt-libssh2 en CVE-2026-55200, CVE-2026-55199 y CVE-2025-15661. Red Hat y Canonical tienen paquetes parchados en el canal estable. Las imágenes base de Debian slim, Alpine y Amazon Linux 2023 recibieron builds con la corrección el domingo y el lunes. El problema no es la disponibilidad del parche. El problema es el tail de software de terceros, en general cerrado, que realiza vendoring estático y tarda semanas en empaquetar y distribuir.

La lectura para SOC y GRC

Para el SOC, el playbook es clásico de vulnerabilidad de cadena: ejecutar SBOM contra repositorios públicos de versiones afectadas, identificar el subconjunto que carga libssh2 1.11.1 inclusive, crear reglas de detección que busquen conexiones SSH cuyo client banner negocie libssh2 e aislar workloads de CI que clonan de fuentes externas. Para el GRC, lo difícil es lo contrario: appliances comprados hace cinco años, cuyo proveedor ya ha terminado soporte, y que necesitan ser o sustituidos o colocados en una red segregada. La línea entre parcheable y desechable cambia el diseño del presupuesto de 2027.

El efecto del PoC

La disponibilidad de un exploit funcional acorta el ciclo. CVE-2026-55200 había tenido cobertura discreta entre el 17 y 27 de junio porque la complejidad de explotación se estimaba como media. El autor de exploitarium, que publica entradas sin coordinación previa con investigadores, divulgó una muestra que entrega shell en una única conexión a un servidor controlado. Casos de este tipo suelen ver la weaponización por grupos cibercriminales dentro de 48 a 72 horas. La ventana en la que los equipos responsables de endpoint necesitan cerrar la fila de parches aprovecha el resto de junio.

Dónde llega el impacto

En el sector financiero alemán y británico, los equipos de plataforma del Deutsche Bank, del Commerzbank y del Barclays ya recibieron un advisory interno clasificando el caso como crítico, según notas internas que circularon en listas de practicantes de DevSecOps. La cuestión que pesa en el Reino Unido es el estado de la PRA: el regulador exige un inventario actualizado de componentes open source en workloads de pagos, y la ventana para demostrar contención es corta.

En Brasil, el vector apunta a fintechs que ejecutan pipelines de CI en GitHub Actions o GitLab self-hosted, y bancos con infraestructura de recolección de inventario basada en SSH para datacenter on-premises. Itaú, Bradesco, Santander Brasil y BTG son candidatos directos a auditar la flota de runners. La regulación local complementa: la Resolución Conjunta 6 del Banco Central y CMN trata la cadena de software como un activo pasible de gestión de riesgos, y el informe de incidente, si ocurre, irá a Susep o al BC dependiendo del segmento.

Lo que CVE-2026-55200 tiene de distinto no es la severidad, es la profundidad. El bug está dentro de bibliotecas que operan en tres cuartos del parque de servidores Linux corporativos del mundo, y el PoC funcional salió antes de que la mayoría de los proveedores de appliances pusieran la corrección en fila.