Alerta por vulnerabilidad crítica CVE-2026-55200 en libssh2
Publicado el
Vulnerabilidad crítica en libssh2
La reciente publicación de un proof-of-concept (PoC) para la vulnerabilidad CVE-2026-55200 ha elevado las alarmas en la comunidad de ciberseguridad. Esta grave falla en libssh2 permite a un servidor SSH malicioso o comprometido provocar corrupción de memoria en un cliente que se conecta, lo que puede resultar en ejecución remota de código. No requiere credenciales ni interacción previa del usuario.
La vulnerabilidad afecta a todas las versiones de libssh2 hasta la 1.11.1 y tiene un CVSS de 9.2, lo que indica su severidad. Libssh2 es una biblioteca SSH del lado del cliente, que se utiliza en herramientas como curl, Git y PHP, así como en agentes de copia de seguridad y actualizadores de firmware. Esto la convierte en un blanco potencial para cualquier aplicación que la vincule y que se conecte a un punto final SSH no confiable.
Detalles técnicos de la vulnerabilidad
La falla se encuentra en la función `ssh2_transport_read()` en `transport.c`, que se encarga de analizar los paquetes SSH entrantes durante el proceso de conexión. Esta función lee el campo `packet_length` controlado por el atacante y solo rechaza valores inferiores a 1, sin imponer un límite superior. Esto permite que un tamaño de 0xffffffff se convierta en un valor muy pequeño, lo que lleva a la asignación de un buffer de tamaño incorrecto. Posteriormente, se escribe un paquete de tamaño completo en este buffer, provocando un escritura fuera de límites en el heap, clasificada como CWE-680.
El parche que soluciona esta vulnerabilidad incluye una revisión que rechaza cualquier `packet_length` que supere `LIBSSH2_PACKET_MAXPAYLOAD` antes de realizar los cálculos. Esta no es la primera vez que libssh2 enfrenta un problema de este tipo; en 2019, se lanzó la versión 1.8.1 para solucionar una serie de vulnerabilidades similares.
Acciones recomendadas
A pesar de que el parche ya está disponible en la fuente principal, aún no se ha lanzado una versión corregida de libssh2. Por lo tanto, muchas distribuciones de Linux y proyectos derivados están aplicando el parche por su cuenta. Debian, por ejemplo, ya cuenta con una versión reparada en fase de pruebas. NHS England Digital ha emitido un aviso instando a las organizaciones afectadas a actualizar sus sistemas.
Se recomienda realizar un inventario de todas las aplicaciones que vinculan libssh2, incluyendo copias estáticas o empaquetadas que los gestores de paquetes pueden no detectar. Despliegues de curl, Git y PHP son algunos de los transportes más comunes que podrían estar afectados. Es crucial aplicar una compilación que incluya el compromiso 97acf3d, ya sea mediante un retroceso de distribución o una compilación de fuente corregida.
Mientras se espera la corrección definitiva, se aconseja restringir las conexiones SSH salientes a servidores de confianza y verificar las claves de host. También es importante prestar atención a anomalías en paquetes de tamaño excesivo y caídas inexplicables en los clientes.
Además, es recomendable actualizar ante otras vulnerabilidades como CVE-2026-55199, que provoca una denegación de servicio atrapando al cliente en un bucle de CPU, y CVE-2025-15661, una sobrelectura en el heap de SFTP. La situación es crítica, y el número de aplicaciones y dispositivos que utilizan libssh2 es vasto, lo que pone de relieve la necesidad de una rápida acción de mitigación frente a esta amenaza.