OpenSSH命令注入漏洞，漏洞編號(hào)：CVE-2023-51385。

該漏洞是由于OpenSSH處理主機(jī)名稱中的特殊符號(hào)不嚴(yán)謹(jǐn)，如果用戶名或主機(jī)名中含有shell元字符（如|‘“等），并且ssh_config中ProxyCommand、LocalCommand指令或”match exec”謂詞通過%u、%h或類似的擴(kuò)展標(biāo)記引用用戶或主機(jī)名時(shí)，可能會(huì)發(fā)生命令注入。攻擊者可利用該漏洞在獲得權(quán)限或釣魚攻擊的情況下，構(gòu)造惡意數(shù)據(jù)執(zhí)行命令注入攻擊，最終獲取服務(wù)器最高權(quán)限。

（一）漏洞影響范圍：

OpenSSH<9.6

（二）漏洞修復(fù)建議：

當(dāng)前官方已發(fā)布最新版本，建議受影響的用戶及時(shí)更新升級到最新版本。

鏈接如下：https://www.openssh.com/openbsd.html