CVE-2026-39833— Go x/crypto/ssh/agent密钥约束未强制漏洞
可能的 ATT&CK 技术 1AI
T1055 · Process Injection影响版本矩阵 1
| 厂商 | 产品 | 版本范围 | 状态 |
|---|---|---|---|
| golang.org/x/crypto | golang.org/x/crypto/ssh/agent | < 0.52.0 | affected |
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-39833 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Invoking key constraints not enforced in golang.org/x/crypto/ssh/agent
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
The in-memory keyring returned by NewKeyring() silently accepted keys with the ConfirmBeforeUse constraint but never enforced it. The key would sign without any confirmation prompt, with no indication to the caller that the constraint was not in effect. NewKeyring() now returns an error when unsupported constraints are requested.
来源: 美国国家漏洞数据库 NVD
CVSS Information
N/A
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
N/A
来源: 美国国家漏洞数据库 NVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| golang.org/x/crypto | golang.org/x/crypto/ssh/agent | 0 ~ 0.52.0 | - |
二、漏洞 CVE-2026-39833 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2026-39833 的情报信息
请登录查看更多情报信息。
CVE-2026-39833 补丁与修复 (2)
CVE-2026-39833 厂商安全公告 (3)
同批安全公告 · golang.org/x/crypto · 2026-05-22 · 共 13 条
| CVE-2026-42508 | golang.org/x/crypto ssh 身份验证绕过漏洞 | |
| CVE-2026-39829 | Go SSH 库远程拒绝服务漏洞 | |
| CVE-2026-39835 | Golang X Crypto SSH 主机密钥验证触发服务器恐慌漏洞 | |
| CVE-2026-39831 | Go SSH FIDO/U2F 安全密钥物理交互绕过漏洞 | |
| CVE-2026-39834 | Go golang.org/x/crypto/ssh 大通道写入无限循环漏洞 | |
| CVE-2026-39830 | golang.org/x/crypto/ssh 服务死锁漏洞 | |
| CVE-2026-39828 | golang.org/x/crypto/ssh 证书限制绕过漏洞 | |
| CVE-2026-39827 | golang.org/x/crypto/ssh 拒绝通道时内存泄漏导致DoS漏洞 | |
| CVE-2026-39832 | Go SSH Agent 转发密钥时约束丢失 | |
| CVE-2026-46597 | Go SSH 库字节运算下恐慌漏洞 | |
| CVE-2026-46598 | Go SSH Agent 客户端恐慌漏洞 | |
| CVE-2026-46595 | golang.org/x/crypto/ssh 权限绕过漏洞 |
IV. Related Vulnerabilities
V. Comments for CVE-2026-39833
暂无评论