Vulnerabilità critica in libssh2: milioni di dispositivi a rischio esecuzione di codice remoto

Patch management

Una libreria spesso invisibile agli utenti finali può trasformarsi in un punto di ingresso ideale per attacchi su larga scala. È il caso di libssh2, componente open source utilizzato da anni per implementare funzionalità SSH, SCP e SFTP in una quantità enorme di software. Due vulnerabilità appena rese pubbliche, identificate come CVE-2026-55200 e CVE-2026-55199, riportano l’attenzione su un problema noto agli specialisti della sicurezza: quando una dipendenza è integrata in migliaia di prodotti differenti, una singola falla può propagare il rischio ben oltre il progetto originale.

La storia di libssh2 inizia nei primi anni 2000 come implementazione leggera del protocollo SSH destinata agli sviluppatori che necessitano di accesso remoto sicuro, trasferimento file e autenticazione crittografica senza dover integrare un client SSH completo. Nel tempo la libreria è diventata una dipendenza comune in strumenti di amministrazione remota, software di backup, appliance di rete, dispositivi IoT e applicazioni multipiattaforma.

Anche progetti come curl la utilizzano per supportare protocolli quali SCP e SFTP. Proprio questa diffusione rende particolarmente rilevanti le nuove vulnerabilità, soprattutto considerando che molte distribuzioni Linux e numerosi firmware incorporano ancora versioni precedenti alla 1.11.1.