Krytyczna luka w golang crypto umożliwiająca obejście ograniczeń klucza SSH

Krytyczna luka CVE-2026-39832 w golang crypto pozwala na obejście ograniczeń kluczy SSH. Zalecane szybkie aktualizacje i monitorowanie systemów.
CVE-2026-39832CVSS 9.1SSH

Krytyczna luka w golang crypto umożliwiająca obejście ograniczeń klucza SSH

Krytyczna luka CVE-2026-39832 w golang crypto pozwala na obejście ograniczeń kluczy SSH. Zalecane szybkie aktualizacje i monitorowanie systemów.

CVSS
9.1 CRITICAL
EPSS
25.74%
Aktywnie wykorzystywana
brak w KEV
Produkt
crypto

Co wiadomo

W bibliotece golang crypto wykryto poważną lukę, w której rozszerzenia ograniczeń klucza SSH nie były poprawnie serializowane podczas dodawania klucza do zdalnego agenta. Skutkowało to cichym usunięciem ograniczeń docelowych i umożliwiało nieograniczone użycie klucza na zdalnym hoście.

Wpływ biznesowy

Luka ta może pozwolić atakującym na wykorzystanie kluczy SSH bez wymaganych ograniczeń, co zwiększa ryzyko nieautoryzowanego dostępu do systemów zdalnych. Operatorzy infrastruktury korzystającej z golang crypto powinni traktować tę lukę jako krytyczną i podjąć działania w celu ograniczenia potencjalnych zagrożeń.

Rekomendowane działania administratora

Zaleca się jak najszybsze sprawdzenie dostępności aktualizacji biblioteki golang crypto u dostawcy oraz ich wdrożenie. W międzyczasie warto ograniczyć ekspozycję usług SSH, monitorować logi pod kątem nietypowego użycia kluczy oraz zweryfikować konfigurację agentów SSH pod kątem obsługi rozszerzeń ograniczeń kluczy.

Źródła