Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-07644

Опубликовано: 14 мая 2025
Источник: fstec
CVSS3: 5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость функции ssh_kdf() библиотеки libssh связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Сообщество свободного программного обеспечения

Наименование ПО

libssh

Версия ПО

до 0.11.2 (libssh)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://www.libssh.org/security/advisories/CVE-2025-5372.txt
https://git.libssh.org/projects/libssh.git/commit/?id=a9d8a3d44829cf9182b252bc951f35fb0d573972

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 12%
0.00041
Низкий

5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-5372

CVSS3: 5
ubuntu
около 1 месяца назад

A flaw was found in libssh versions built with OpenSSL versions older than 3.0, specifically in the ssh_kdf() function responsible for key derivation. Due to inconsistent interpretation of return values where OpenSSL uses 0 to indicate failure and libssh uses 0 for success—the function may mistakenly return a success status even when key derivation fails. This results in uninitialized cryptographic key buffers being used in subsequent communication, potentially compromising SSH sessions' confidentiality, integrity, and availability.

redhat логотип

CVE-2025-5372

CVSS3: 5
redhat
около 1 месяца назад

A flaw was found in libssh versions built with OpenSSL versions older than 3.0, specifically in the ssh_kdf() function responsible for key derivation. Due to inconsistent interpretation of return values where OpenSSL uses 0 to indicate failure and libssh uses 0 for success—the function may mistakenly return a success status even when key derivation fails. This results in uninitialized cryptographic key buffers being used in subsequent communication, potentially compromising SSH sessions' confidentiality, integrity, and availability.

nvd логотип

CVE-2025-5372

CVSS3: 5
nvd
около 1 месяца назад

A flaw was found in libssh versions built with OpenSSL versions older than 3.0, specifically in the ssh_kdf() function responsible for key derivation. Due to inconsistent interpretation of return values where OpenSSL uses 0 to indicate failure and libssh uses 0 for success—the function may mistakenly return a success status even when key derivation fails. This results in uninitialized cryptographic key buffers being used in subsequent communication, potentially compromising SSH sessions' confidentiality, integrity, and availability.

msrc логотип

CVE-2025-5372

CVSS3: 5
msrc
20 дней назад

Описание отсутствует

debian логотип

CVE-2025-5372

CVSS3: 5
debian
около 1 месяца назад

A flaw was found in libssh versions built with OpenSSL versions older ...

EPSS

Процентиль: 12%
0.00041
Низкий

5 Medium

CVSS3

4.6 Medium

CVSS2