SSH验证 on 办公AI智能小助手 https://blog.qife122.com/tags/ssh%E9%AA%8C%E8%AF%81/ Recent content in SSH验证 on 办公AI智能小助手 Hugo zh-cn qife Sun, 16 Nov 2025 15:43:15 +0800 CVE-2025-10966:wolfSSH后端缺失SFTP主机密钥验证的安全漏洞分析 https://blog.qife122.com/p/cve-2025-10966wolfssh%E5%90%8E%E7%AB%AF%E7%BC%BA%E5%A4%B1sftp%E4%B8%BB%E6%9C%BA%E5%AF%86%E9%92%A5%E9%AA%8C%E8%AF%81%E7%9A%84%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Sun, 16 Nov 2025 15:43:15 +0800 https://blog.qife122.com/p/cve-2025-10966wolfssh%E5%90%8E%E7%AB%AF%E7%BC%BA%E5%A4%B1sftp%E4%B8%BB%E6%9C%BA%E5%AF%86%E9%92%A5%E9%AA%8C%E8%AF%81%E7%9A%84%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="cve-2025-10966wolfssh后端缺失sftp主机密钥验证">CVE-2025-10966:wolfSSH后端缺失SFTP主机密钥验证</h1> <h2 id="报告摘要">报告摘要</h2> <p>当curl使用wolfSSH后端构建时,lib/vssh/wolfssh.c中的SSH/SFTP实现未执行服务器主机密钥验证,且在curl工具中未暴露主机身份选项。通过本地构建带wolfSSH的curl(二进制显示wolfssh/1.4.20),验证了SSH主机验证选项在工具中不可用,并检查了wolfSSH代码路径,确认其连接时未进行任何主机密钥检查或known_hosts处理。</p> CVE-2025-10966:wolfSSH后端缺少SFTP主机密钥验证的安全漏洞分析 https://blog.qife122.com/p/cve-2025-10966wolfssh%E5%90%8E%E7%AB%AF%E7%BC%BA%E5%B0%91sftp%E4%B8%BB%E6%9C%BA%E5%AF%86%E9%92%A5%E9%AA%8C%E8%AF%81%E7%9A%84%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Wed, 12 Nov 2025 15:35:42 +0800 https://blog.qife122.com/p/cve-2025-10966wolfssh%E5%90%8E%E7%AB%AF%E7%BC%BA%E5%B0%91sftp%E4%B8%BB%E6%9C%BA%E5%AF%86%E9%92%A5%E9%AA%8C%E8%AF%81%E7%9A%84%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="漏洞概述">漏洞概述</h1> <p>当curl使用wolfSSH后端构建时,lib/vssh/wolfssh.c中的SSH/SFTP实现未执行服务器主机密钥验证,且在curl工具中未暴露主机身份选项。通过在本地构建带有wolfSSH的curl(二进制报告wolfssh/1.4.20)进行验证,观察到SSH主机验证选项在工具中不可用,并检查了wolfSSH代码路径,发现连接时未进行任何主机密钥检查或known_hosts处理。</p> CVE-2025-10966:wolfSSH后端缺失SFTP主机验证漏洞分析 https://blog.qife122.com/p/cve-2025-10966wolfssh%E5%90%8E%E7%AB%AF%E7%BC%BA%E5%A4%B1sftp%E4%B8%BB%E6%9C%BA%E9%AA%8C%E8%AF%81%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Wed, 12 Nov 2025 11:42:29 +0800 https://blog.qife122.com/p/cve-2025-10966wolfssh%E5%90%8E%E7%AB%AF%E7%BC%BA%E5%A4%B1sftp%E4%B8%BB%E6%9C%BA%E9%AA%8C%E8%AF%81%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="cve-2025-10966wolfssh后端缺失sftp主机验证">CVE-2025-10966:wolfSSH后端缺失SFTP主机验证</h1> <h2 id="报告摘要">报告摘要</h2> <p>当curl使用wolfSSH后端构建时,lib/vssh/wolfssh.c中的SSH/SFTP实现未执行服务器主机密钥验证,且在curl工具中未暴露主机身份选项。通过在本地构建带有wolfSSH的curl(二进制报告wolfssh/1.4.20)进行验证,观察到SSH主机验证选项在工具中不可用,并检查了wolfSSH代码路径,发现其连接时未进行任何主机密钥检查或known_hosts处理。</p> CVE-2025-10966:wolfSSH后端缺失SFTP主机密钥验证的安全漏洞分析 https://blog.qife122.com/p/cve-2025-10966wolfssh%E5%90%8E%E7%AB%AF%E7%BC%BA%E5%A4%B1sftp%E4%B8%BB%E6%9C%BA%E5%AF%86%E9%92%A5%E9%AA%8C%E8%AF%81%E7%9A%84%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ Fri, 07 Nov 2025 21:30:56 +0800 https://blog.qife122.com/p/cve-2025-10966wolfssh%E5%90%8E%E7%AB%AF%E7%BC%BA%E5%A4%B1sftp%E4%B8%BB%E6%9C%BA%E5%AF%86%E9%92%A5%E9%AA%8C%E8%AF%81%E7%9A%84%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90/ <h1 id="cve-2025-10966wolfssh缺失sftp主机验证">CVE-2025-10966:wolfSSH缺失SFTP主机验证</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>当curl使用wolfSSH后端构建时,lib/vssh/wolfssh.c中的SSH/SFTP实现未执行服务器主机密钥验证,且在curl工具中未暴露主机身份选项。通过在本地构建带有wolfSSH的curl(二进制报告wolfssh/1.4.20),观察到SSH主机验证选项在工具中不可用,并检查了wolfSSH代码路径,发现连接时没有任何主机密钥检查或known_hosts处理。</p>