Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2026-9547

Gravedad:
Pendiente de análisis
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
03/07/2026
Última modificación:
03/07/2026

Descripción

*** Pendiente de traducción *** When a libcurl-based application performs transfers via `SCP://` or `SFTP://`<br /> and utilizes the `CURLOPT_SSH_KEYFUNCTION` callback, it may silently accept an<br /> untrusted server. This vulnerability occurs when a server presents a host key<br /> type that does not match the specific key type already recorded for that host<br /> in the `known_hosts` file. Instead of rejecting the mismatch, the callback<br /> mechanism fails to properly enforce the restriction, allowing the connection<br /> to succeed without warning and risking a potential man-in-the-middle attack.

Impacto