文章总结： OpenSSH存在编号CVE-2026-35414的高危漏洞（CVSS8.1），潜伏15年。漏洞源于证书主体名称中的逗号被错误解析为列表分隔符，导致攻击者可通过含逗号的有效CA证书绕过访问控制，直接获取root权限且不触发认证失败日志。该漏洞影响过去15年发布的版本，已于OpenSSH10.3修复，建议组织立即审计环境并更新至安全版本。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,应急响应,解决方案,网络安全

OpenSSH 漏洞暗藏 15 年，可致完全 root 权限访问

HackerNews HackerNews

安全威胁纵横

2026年4月28日 16:49 湖北

在小说阅读器读本章

去阅读

高危漏洞

紧急修复指南

RCE Patch

数据安全公司 Cyera 表示，过去 15 年发布的 OpenSSH 版本存在一个漏洞，该漏洞可导致攻击者获取完全的 root shell 访问权限，且基于日志的检测方式无法发现此类攻击。

推测e

该漏洞编号为 CVE-2026-35414，严重程度评分（CVSS）为 8.1。在某些涉及使用逗号字符的证书颁发机构（CA）的场景中，此漏洞表现为对 authorized_keys principals 选项的处理不当。

据 Cyera 称，由于这个漏洞，SSH 证书主体名称中的逗号会导致 OpenSSH 访问控制被绕过。只要用户拥有受信任 CA 颁发的有效证书，就可以在存在漏洞的服务器上以 root 身份进行身份验证。

Cyera 向 SecurityWeek 表示：“该漏洞源于代码复用错误，意外地使解析器将证书主体中的一个普通逗号解释为列表分隔符，从而将低权限身份转变为 root 凭证。”

它还补充道：“服务器会认为这种身份验证是合法的，这意味着此类攻击不会在日志中记录身份验证失败，使得基于日志的检测极不可靠。”

这家网络安全公司解释称，CVE-2026-35414 涉及 principals 列表（包含证书持有者可用于身份验证的用户名）以及 authorized_keys principals（包含服务器用于信任证书的密钥）。

问题在于，一个处理密码和密钥交换列表协商的函数，在密钥交换期间会比较以逗号分隔的密码列表，并按逗号进行拆分。如果其中任何一个片段与主体的值匹配，就会允许身份验证。

由于该漏洞，如果一个证书包含主体 “deploy,root”，OpenSSH 会拆分逗号并授予完全的 root 访问权限。

另一个同样用于检查授权的函数会将相同的主体视为单个字符串并拒绝访问。然而，如果字符串匹配，接下来运行的选项会导致完全跳过主体验证。

Cyera 称：“我们编写了一个在主体字段中带有普通逗号的测试证书，并将其指向测试服务器，然后就获取了 root 权限。从发现‘看起来不对劲’到成功利用该漏洞，整个过程大约花了 20 分钟。”

该公司表示，如果组织内的服务器运行了存在漏洞的协议，成功利用此漏洞可能使攻击者获得对所有这些服务器的 root 访问权限。

CVE-2026-35414 已于 4 月初在 OpenSSH 10.3 版本中得到修复。建议各组织对自身环境进行审计，并尽快更新到已修复版本。

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://www.securityweek.com/openssh-flaw-allowing-full-root-shell-access-lurked-for-15-years/

更多网络安全视频，请关注视频号“知道创宇404实验室”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全威胁纵横 HackerNews HackerNews《OpenSSH 漏洞暗藏 15 年，可致完全 root 权限访问》