Vulnerability Details CVE-2018-7750
transport.py in the SSH server implementation of Paramiko before 1.17.6, 1.18.x before 1.18.5, 2.0.x before 2.0.8, 2.1.x before 2.1.5, 2.2.x before 2.2.3, 2.3.x before 2.3.2, and 2.4.x before 2.4.1 does not properly check whether authentication is completed before processing other requests, as demonstrated by channel-open. A customized SSH client can simply skip the authentication step.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.222
EPSS Ranking 95.5%
CVSS Severity
CVSS v3 Score 9.8
CVSS v2 Score 7.5
References
- http://www.securityfocus.com/bid/103713
- https://access.redhat.com/errata/RHSA-2018:0591
- https://access.redhat.com/errata/RHSA-2018:0646
- https://access.redhat.com/errata/RHSA-2018:1124
- https://access.redhat.com/errata/RHSA-2018:1125
- https://access.redhat.com/errata/RHSA-2018:1213
- https://access.redhat.com/errata/RHSA-2018:1274
- https://access.redhat.com/errata/RHSA-2018:1328
- https://access.redhat.com/errata/RHSA-2018:1525
- https://access.redhat.com/errata/RHSA-2018:1972
- https://github.com/paramiko/paramiko/blob/master/sites/www/changelog.rst
- https://github.com/paramiko/paramiko/commit/fa29bd8446c8eab237f5187d28787727b4610516
- https://github.com/paramiko/paramiko/issues/1175
- https://lists.debian.org/debian-lts-announce/2018/10/msg00018.html
- https://lists.debian.org/debian-lts-announce/2021/12/msg00025.html
- https://usn.ubuntu.com/3603-1/
- https://usn.ubuntu.com/3603-2/
- https://www.exploit-db.com/exploits/45712/
- http://www.securityfocus.com/bid/103713
- https://access.redhat.com/errata/RHSA-2018:0591
- https://access.redhat.com/errata/RHSA-2018:0646
- https://access.redhat.com/errata/RHSA-2018:1124
- https://access.redhat.com/errata/RHSA-2018:1125
- https://access.redhat.com/errata/RHSA-2018:1213
- https://access.redhat.com/errata/RHSA-2018:1274
- https://access.redhat.com/errata/RHSA-2018:1328
- https://access.redhat.com/errata/RHSA-2018:1525
- https://access.redhat.com/errata/RHSA-2018:1972
- https://github.com/paramiko/paramiko/blob/master/sites/www/changelog.rst
- https://github.com/paramiko/paramiko/commit/fa29bd8446c8eab237f5187d28787727b4610516
- https://github.com/paramiko/paramiko/issues/1175
- https://lists.debian.org/debian-lts-announce/2018/10/msg00018.html
- https://lists.debian.org/debian-lts-announce/2021/12/msg00025.html
- https://usn.ubuntu.com/3603-1/
- https://usn.ubuntu.com/3603-2/
- https://www.exploit-db.com/exploits/45712/
Products affected by CVE-2018-7750
-
cpe:2.3:a:paramiko:paramiko:-
-
cpe:2.3:a:paramiko:paramiko:1.10.0
-
cpe:2.3:a:paramiko:paramiko:1.10.1
-
cpe:2.3:a:paramiko:paramiko:1.10.2
-
cpe:2.3:a:paramiko:paramiko:1.10.3
-
cpe:2.3:a:paramiko:paramiko:1.10.4
-
cpe:2.3:a:paramiko:paramiko:1.10.5
-
cpe:2.3:a:paramiko:paramiko:1.10.6
-
cpe:2.3:a:paramiko:paramiko:1.10.7
-
cpe:2.3:a:paramiko:paramiko:1.11.0
-
cpe:2.3:a:paramiko:paramiko:1.11.1
-
cpe:2.3:a:paramiko:paramiko:1.11.2
-
cpe:2.3:a:paramiko:paramiko:1.11.3
-
cpe:2.3:a:paramiko:paramiko:1.11.4
-
cpe:2.3:a:paramiko:paramiko:1.11.5
-
cpe:2.3:a:paramiko:paramiko:1.11.6
-
cpe:2.3:a:paramiko:paramiko:1.12.0
-
cpe:2.3:a:paramiko:paramiko:1.12.1
-
cpe:2.3:a:paramiko:paramiko:1.12.2
-
cpe:2.3:a:paramiko:paramiko:1.12.3
-
cpe:2.3:a:paramiko:paramiko:1.12.4
-
cpe:2.3:a:paramiko:paramiko:1.13.0
-
cpe:2.3:a:paramiko:paramiko:1.13.1
-
cpe:2.3:a:paramiko:paramiko:1.13.2
-
cpe:2.3:a:paramiko:paramiko:1.13.3
-
cpe:2.3:a:paramiko:paramiko:1.13.4
-
cpe:2.3:a:paramiko:paramiko:1.14.0
-
cpe:2.3:a:paramiko:paramiko:1.14.1
-
cpe:2.3:a:paramiko:paramiko:1.14.2
-
cpe:2.3:a:paramiko:paramiko:1.14.3
-
cpe:2.3:a:paramiko:paramiko:1.15.0
-
cpe:2.3:a:paramiko:paramiko:1.15.1
-
cpe:2.3:a:paramiko:paramiko:1.15.2
-
cpe:2.3:a:paramiko:paramiko:1.15.3
-
cpe:2.3:a:paramiko:paramiko:1.15.4
-
cpe:2.3:a:paramiko:paramiko:1.15.5
-
cpe:2.3:a:paramiko:paramiko:1.16.0
-
cpe:2.3:a:paramiko:paramiko:1.16.1
-
cpe:2.3:a:paramiko:paramiko:1.16.2
-
cpe:2.3:a:paramiko:paramiko:1.16.3
-
cpe:2.3:a:paramiko:paramiko:1.17.0
-
cpe:2.3:a:paramiko:paramiko:1.17.1
-
cpe:2.3:a:paramiko:paramiko:1.17.2
-
cpe:2.3:a:paramiko:paramiko:1.17.3
-
cpe:2.3:a:paramiko:paramiko:1.17.4
-
cpe:2.3:a:paramiko:paramiko:1.17.5
-
cpe:2.3:a:paramiko:paramiko:1.18.0
-
cpe:2.3:a:paramiko:paramiko:1.18.1
-
cpe:2.3:a:paramiko:paramiko:1.18.2
-
cpe:2.3:a:paramiko:paramiko:1.18.3
-
cpe:2.3:a:paramiko:paramiko:1.18.4
-
cpe:2.3:a:paramiko:paramiko:1.7.10
-
cpe:2.3:a:paramiko:paramiko:1.7.11
-
cpe:2.3:a:paramiko:paramiko:1.7.12
-
cpe:2.3:a:paramiko:paramiko:1.7.13
-
cpe:2.3:a:paramiko:paramiko:1.7.14
-
cpe:2.3:a:paramiko:paramiko:1.7.4
-
cpe:2.3:a:paramiko:paramiko:1.7.5
-
cpe:2.3:a:paramiko:paramiko:1.7.6
-
cpe:2.3:a:paramiko:paramiko:1.7.7.1
-
cpe:2.3:a:paramiko:paramiko:1.7.7.2
-
cpe:2.3:a:paramiko:paramiko:1.7.8
-
cpe:2.3:a:paramiko:paramiko:1.7.9
-
cpe:2.3:a:paramiko:paramiko:1.8.0
-
cpe:2.3:a:paramiko:paramiko:1.8.1
-
cpe:2.3:a:paramiko:paramiko:1.9.0
-
cpe:2.3:a:paramiko:paramiko:2.0.0
-
cpe:2.3:a:paramiko:paramiko:2.0.1
-
cpe:2.3:a:paramiko:paramiko:2.0.2
-
cpe:2.3:a:paramiko:paramiko:2.0.3
-
cpe:2.3:a:paramiko:paramiko:2.0.4
-
cpe:2.3:a:paramiko:paramiko:2.0.5
-
cpe:2.3:a:paramiko:paramiko:2.0.6
-
cpe:2.3:a:paramiko:paramiko:2.0.7
-
cpe:2.3:a:paramiko:paramiko:2.1.0
-
cpe:2.3:a:paramiko:paramiko:2.1.1
-
cpe:2.3:a:paramiko:paramiko:2.1.2
-
cpe:2.3:a:paramiko:paramiko:2.1.3
-
cpe:2.3:a:paramiko:paramiko:2.1.4
-
cpe:2.3:a:paramiko:paramiko:2.2.0
-
cpe:2.3:a:paramiko:paramiko:2.2.1
-
cpe:2.3:a:paramiko:paramiko:2.2.2
-
cpe:2.3:a:paramiko:paramiko:2.3.0
-
cpe:2.3:a:paramiko:paramiko:2.3.1
-
cpe:2.3:a:paramiko:paramiko:2.4.0
-
cpe:2.3:a:redhat:ansible_engine:2.0
-
cpe:2.3:a:redhat:ansible_engine:2.4
-
cpe:2.3:a:redhat:cloudforms:4.5
-
cpe:2.3:a:redhat:cloudforms:4.6
-
cpe:2.3:a:redhat:virtualization:4.1
-
cpe:2.3:o:debian:debian_linux:8.0
-
cpe:2.3:o:debian:debian_linux:9.0
-
cpe:2.3:o:redhat:enterprise_linux_desktop:6.0
-
cpe:2.3:o:redhat:enterprise_linux_server:6.0
-
cpe:2.3:o:redhat:enterprise_linux_server:7.0
-
cpe:2.3:o:redhat:enterprise_linux_server_aus:6.4
-
cpe:2.3:o:redhat:enterprise_linux_server_aus:6.5
-
cpe:2.3:o:redhat:enterprise_linux_server_aus:6.6
-
cpe:2.3:o:redhat:enterprise_linux_server_eus:6.7
-
cpe:2.3:o:redhat:enterprise_linux_server_tus:6.6
-
cpe:2.3:o:redhat:enterprise_linux_workstation:6.0