Paramiko
Уязвимости
4
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.93305
Распределение по критичности
Критический
2
Высокий
0
Средний
2
Низкий
0
Также сопоставлено как (исходные строки): paramiko
Топ уязвимостей
CVE-2018-7750transport.py в реализации SSH-сервера Paramiko до версий 1.17.6, 1.18.x до 1.18.5, 2.0.x до 2.0.8, 2.1.x до 2.1.5, 2.2.x до 2.2.3, 2.3.x до 2.3.2 и 2.4.x до 2.4.1 неправильно проверяет, завершена ли аутентификация, перед обработкой других запросов, как продемонстрировано channel-open. Настроенный SSH-клиент может просто пропустить этап аутентификации.
CVE-2018-1000805Paramiko версии 2.4.1, 2.3.2, 2.2.3, 2.1.5, 2.0.8, 1.18.5, 1.17.6 содержит уязвимость неправильного контроля доступа в SSH-сервере, что может привести к RCE. Эта атака, по-видимому, может быть осуществлена через сетевое подключение.
CVE-2023-48795Транспортный протокол SSH с определенными расширениями OpenSSH, обнаруженный в OpenSSH до 9.6 и других продуктах, позволяет удаленным злоумышленникам обходить проверки целостности, так что некоторые пакеты опускаются (из сообщения о согласовании расширений), и клиент и сервер могут в конечном итоге получить соединение, для которого некоторые функции безопасности были понижены или отключены, также известное как атака Terrapin. Это происходит из-за того, что SSH Binary Packet Protocol (BPP), реализованный этими расширениями, неправильно обрабатывает фазу подтверждения связи и неправильно обрабатывает использование порядковых номеров. Например, существует эффективная атака против использования SSH ChaCha20-Poly1305 (и CBC с Encrypt-then-MAC). Обход происходит в chacha20-poly1305@openssh.com и (если используется CBC) алгоритмах MAC -etm@openssh.com. Это также затрагивает Maverick Synergy Java SSH API до 3.1.0-SNAPSHOT, Dropbear до 2022.83, Ssh до 5.1.1 в Erlang/OTP, PuTTY до 0.80, AsyncSSH до 2.14.2, golang.org/x/crypto до 0.17.0, libssh до 0.10.6, libssh2 до 1.11.0, Thorn Tech SFTP Gateway до 3.4.6, Tera Term до 5.1, Paramiko до 3.4.0, jsch до 0.2.15, SFTPGo до 2.5.6, Netgate pfSense Plus до 23.09.1, Netgate pfSense CE до 2.7.2, HPN-SSH до 18.2.0, ProFTPD до 1.3.8b (и до 1.3.9rc2), ORYX CycloneSSH до 2.3.4, NetSarang XShell 7 до Build 0144, CrushFTP до 10.6.0, ConnectBot SSH library до 2.2.22, Apache MINA sshd до 2.11.0, sshj до 0.37.0, TinySSH до 20230101, trilead-ssh2 6401, LANCOM LCOS и LANconfig, FileZilla до 3.66.4, Nova до 11.8, PKIX-SSH до 14.4, SecureCRT до 9.4.3, Transmit5 до 5.10.4, Win32-OpenSSH до 9.5.0.0p1-Beta, WinSCP до 6.2.2, Bitvise SSH Server до 9.32, Bitvise SSH Client до 9.33, KiTTY до 0.76.1.13, net-ssh gem 7.2.0 для Ruby, mscdex ssh2 module до 1.15.0 для Node.js, thrussh library до 0.35.1 для Rust и Russh crate до 0.40.2 для Rust.
CVE-2022-24302В Paramiko до версии 2.10.1 состояние гонки (между созданием и chmod) в функции write_private_key_file может привести к несанкционированному раскрытию информации.