CVE-2026-55199

Nome do Software Vulnerável e Versões Afetadas libssh2 versões anteriores a 1.11.1

Descrição Um problema de negação de serviço de pré-autenticação existe no manipulador SSH MSG EXT INFO em src/packet.c. Um servidor SSH malicioso pode causar um loop de exaustão de CPU no cliente ao enviar um valor de contagem de extensão manipulado. Especificamente, ao definir nr extensions como 0xFFFFFFFF durante a troca de chaves, o cliente entra em um loop de CPU apertado por mais de 60 segundos porque os valores de retorno da função libssh2 get string() não são verificados e os tempos limite de sessão não se aplicam a loops vinculados à CPU.

Recomendações Atualize para a versão que contém o commit 1762685.