Pesquisador anônimo divulga repositório com exploits zero-day para libssh2 e Gitea
Aprofundamento CEVIU
Aprofundamento
Um pesquisador autodenominado "bikini" expôs um repositório, o Exploitarium, com exploits para vulnerabilidades zero-day, incluindo a CVE-2026-55200 no libssh2 e a CVE-2026-20896 no Gitea. A CVE-2026-55200 é uma falha crítica de execução remota de código (RCE) pré-autenticação. Ela permite que invasores manipulem pacotes SSH com um packet_length excessivamente grande no libssh2, uma biblioteca cliente em C que implementa o protocolo SSH2. Essa manipulação pode corromper a memória heap do sistema, abrindo caminho para a execução de código arbitrário. A vulnerabilidade reside em ssh2_transport_read(), onde um controle inadequado do tamanho do pacote de entrada leva a um cálculo incorreto de alocação de memória.
A falha ocorre porque o libssh2, em versões até a 1.11.1, aceitava um packet_length controlado pelo atacante sem antes verificar se excedia o limite máximo de pacote do libssh2. Isso significa que, mesmo com um packet_length malicioso, a lógica de alocação de memória baseava-se em um valor indevido, permitindo overflows. O pesquisador bikini demonstrou a capacidade de criar um exploit de prova de conceito (PoC) que, sob certas condições, pode vazar da área alocada para um ponteiro de callback, possibilitando a execução de comandos. Embora o repositório Exploitarium já tenha sido removido do GitHub, os detalhes técnicos e os exploits estão circulando, representando um risco imediato para sistemas que usam versões vulneráveis do libssh2.
O que mudou
A vulnerabilidade CVE-2026-55200 no libssh2, detalhada no repositório Exploitarium, já possui uma correção integrada ao branch principal de desenvolvimento do projeto libssh2 no GitHub. O patch adiciona uma verificação para rejeitar packet_length > LIBSSH2_PACKET_MAXPAYLOAD, prevenindo a condição de overflow. Contudo, até o momento da publicação, os mantenedores ainda preparam uma nova versão com a correção.
Por que isso importa
A exposição de vulnerabilidades zero-day, como as do libssh2 e Gitea, sem notificação prévia aos desenvolvedores, é uma prática controversa, mas que impacta diretamente a segurança. Ataques usando essas falhas já ocorrem, então a urgência em aplicar as correções assim que disponíveis é máxima. Profissionais de segurança devem monitorar rigorosamente os logs de serviços SSH e Git e preparar defesas paliativas até a chegada dos patches oficiais. A situação sublinha a tensão entre a descoberta de vulnerabilidades e a divulgação responsável.
Linha do tempo
Pesquisador Chaotic Eclipse divulga detalhes de zero-day 'BlueHammer' no Windows.
Divulgação pública de exploit para zero-day 'BlueHammer' do Windows.
Alerta sobre falha crítica de RCE pré-autenticação no Marimo sob exploração ativa.
GitHub corrige CVE-2026-3854, bug de alta severidade com RCE, descoberto com IA.
Alerta de falha crítica de RCE no Gogs, ainda sem correção e com módulo Metasploit disponível.
Correção de vulnerabilidade no Cursor que permitia acesso remoto via repositório malicioso.
Pesquisador 'bikini' publica repositório Exploitarium com vulnerabilidades zero-day, incluindo para libssh2 e Gitea, sem notificação prévia.
Perguntas frequentes
O que é o libssh2 e como ele se relaciona com a vulnerabilidade CVE-2026-55200?
O libssh2 é uma biblioteca cliente em C que implementa o protocolo SSH2, amplamente usada para comunicação segura. A CVE-2026-55200 é uma vulnerabilidade crítica de execução remota de código (RCE) pré-autenticação nessa biblioteca, permitindo que atacantes corrompam a memória e executem código arbitrário ao enviar pacotes SSH malformados.
Como a falha no libssh2, CVE-2026-55200, é explorada?
A exploração ocorre ao enviar pacotes SSH com um valor de `packet_length` excessivamente grande para o libssh2. A biblioteca, em versões vulneráveis, não valida corretamente esse tamanho antes de alocar memória, causando uma corrupção de heap que pode ser usada para atingir a execução remota de código.
Quais são os riscos imediatos da publicação do Exploitarium?
O risco imediato é a exploração ativa de sistemas vulneráveis. Como os exploits foram publicados sem aviso prévio aos fornecedores, muitas organizações podem não ter tido tempo de aplicar patches, tornando-as alvos fáceis para atacantes que agora têm acesso ao código de exploração e aos detalhes técnicos das falhas.
O que é um 'zero-day' e por que a prática do pesquisador bikini é preocupante?
Um zero-day é uma vulnerabilidade recém-descoberta que não possui patches de segurança. A prática de 'bikini' de publicar exploits zero-day sem notificação prévia aos fornecedores é preocupante porque expõe sistemas a ataques antes que as defesas possam ser implementadas, criando uma janela de oportunidade para criminosos cibernéticos.
Links relacionados
Fontes
- theregister.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 01 de julho de 2026
- Editoria
- CEVIU Segurança da Informação

