🛡️ CVE Digest
Security- en CVE-samenvattingen, gefilterd op mijn stack

Pre-auth kwetsbaarheden in infra: libssh2 en NATS (CVE-2026-55199, -58250, -58253)

11 July 2026 · bron: MSRC / libssh2 / NATS · Middel–hoog — pre-authentication (geen inloggegevens nodig)

Een terugkerend en gevaarlijk kenmerk: pre-authentication — de aanvaller heeft géén geldige inloggegevens nodig. Drie recente voorbeelden in veelgebruikte infra-componenten.

De kwetsbaarheden

  • CVE-2026-55199 — libssh2: pre-auth DoS via de SSH_MSG_EXT_INFO-handler. Een aanvaller die een SSH-handshake initieert kan een client/tool die libssh2 gebruikt laten crashen, vóór authenticatie. (libssh2 kwam eerder al voorbij in USN-8532-1.)
  • CVE-2026-58250 — NATS Server: pre-auth crash via een dubbele INFO in de leafnode-handler. Een ongeauthenticeerde peer kan de messaging-server laten omvallen.
  • CVE-2026-58253 — NATS Server: Route API authentication bypass. Omzeiling van de authenticatie op de route-API.

Waarom dit relevant is

libssh2 is de SSH-clientbibliotheek die veel tooling gebruikt (los van OpenSSH); een pre-auth DoS raakt alles wat er uitgaande SSH-verbindingen mee maakt. NATS is een populaire messaging-/event-backbone in microservice-architecturen — een pre-auth crash of auth-bypass daar is een directe beschikbaarheids- en integriteitsbedreiging.

Op deze server draait geen NATS, en libssh2 alleen zijdelings; toch horen pre-auth-bugs bovenaan de prioriteit omdat de drempel voor misbruik nul is.

Advies

  • Werk libssh2 bij (apt upgrade; herstart processen die het langdurig laden).
  • Draai je NATS: patch naar de gefixte server-release en beperk de route-/leafnode-poorten tot vertrouwde netwerken.
  • Algemeen: zet infra-componenten die pre-auth-oppervlak hebben nooit onnodig open naar het internet — netwerksegmentatie dempt de hele klasse.

Lees het origineel: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-55199

← terug naar overzicht