PoC público para CVE-2026-55200 expõe milhões de clientes libssh2 a RCE sem autenticação

Um repositório no GitHub conhecido como exploitarium publicou um proof of concept funcional para CVE-2026-55200, falha no parser de pacotes do libssh2 que permite execução remota de código no cliente sem credenciais e sem interação do usuário. A divulgação do PoC, registrada na segunda-feira (29), eleva o nível de urgência sobre uma vulnerabilidade que vinha sendo tratada como prioridade média desde a publicação do CVE pela VulnCheck em 17 de junho. O CVSS 4.0 atribuído é 9.2.

O defeito está na função ssh2_transport_read, que não valida o campo packet_length em pacotes SSH recebidos. A ausência de um teto faz com que um valor exagerado dispare integer overflow e escrita fora de limites no heap, e a partir daí o caminho para sobrescrever estruturas adjacentes é exercício direto para quem conhece libssh2. O pesquisador Tristan Madani reportou a falha aos mantenedores, que mergiram a correção pelo pull request 2052 em 12 de junho. A versão 1.11.1 inclusive carrega o bug. Apenas o commit 7acf3df e versões posteriores estão limpas.

Onde libssh2 está embarcado

O desconforto técnico do dia é a topologia da exposição. libssh2 não é uma biblioteca usada por alguns servidores SSH. Ela é estaticamente embarcada em curl, Git, PHP, dezenas de agentes de backup, ferramentas de provisionamento de firmware e em buona parte do parque de network appliances que pedem capacidade de cliente SSH para coletar inventário. Qualquer cliente que abra conexão para um servidor SSH não confiável entra no escopo, o que inclui pipelines de CI puxando artefatos por SCP, runners que sincronizam mirrors privados, e sistemas de observabilidade que coletam métricas de hosts remotos.

A contagem de imagens públicas no Docker Hub que linkam libssh2 vulnerável passa de seis dígitos. O CloudLinux já publicou no domingo (28) advisory cobrindo libssh2 e alt-libssh2 em CVE-2026-55200, CVE-2026-55199 e CVE-2025-15661. A Red Hat e a Canonical têm pacotes patcheados no canal estável. Imagens base de Debian slim, Alpine e Amazon Linux 2023 ganharam build com a correção no domingo e na segunda. O problema não é a disponibilidade do patch. O problema é o tail de software de terceiros, em geral fechado, que faz vendoring estático e demora semanas para empacotar e distribuir.

A leitura para SOC e GRC

Para o SOC, o playbook é clássico de vulnerabilidade de cadeia: rodar SBOM contra repositórios públicos de affected versions, identificar o subconjunto que carrega libssh2 1.11.1 inclusive, criar regras de detecção que olhem para conexões SSH cujo client banner negocie libssh2 e isolar workloads de CI que clonam de fontes externas. Para o GRC, a difícil é a outra: appliances comprados há cinco anos, cujo fornecedor já encerrou suporte, e que precisam ser ou substituídos ou colocados em rede segregada. A linha entre patcheável e descartável muda o desenho do orçamento de 2027.

O efeito do PoC

A disponibilidade de exploit funcional encurta o ciclo. CVE-2026-55200 tinha tido cobertura discreta entre 17 e 27 de junho porque a complexidade de exploração era estimada como média. O autor do exploitarium, que publica entradas sem coordenação prévia com pesquisadores, divulgou amostra que entrega shell em uma única conexão a um servidor controlado. Casos do tipo costumam ver weaponização por grupos cibercriminais dentro de 48 a 72 horas. A janela em que os times responsáveis por endpoint precisam fechar fila de patching aproveita o restante de junho.

Onde o impacto chega

No setor financeiro alemão e britânico, os times de plataforma do Deutsche Bank, do Commerzbank e do Barclays já receberam advisory interno classificando o caso como crítico, segundo notas internas que circularam em listas de praticantes de DevSecOps. A questão que pesa no Reino Unido é o estado da PRA: o regulador exige inventário atualizado de componentes open source em workloads de pagamentos, e a janela de demonstrar contenção é curta.

No Brasil, o vetor mira fintechs que rodam pipelines de CI em GitHub Actions ou GitLab self-hosted, e bancos com infraestrutura de coleta de inventário baseada em SSH para datacenter on-premises. Itaú, Bradesco, Santander Brasil e BTG são candidatos diretos a auditar a frota de runners. A regulação local complementa: a Resolução Conjunta 6 do Banco Central e CMN trata cadeia de software como ativo passível de gestão de risco, e o relatório de incidente, se ocorrer, vai à Susep ou ao BC dependendo do segmento.

O que CVE-2026-55200 tem de distinto não é o severity, é a profundidade. O bug está dentro de bibliotecas que rodam em três quartos do parque de servidores Linux corporativos do mundo, e o PoC funcional saiu antes que a maioria dos fornecedores de appliance pusesse a correção em fila.