OpenSSH命令注入漏洞，漏洞编号：CVE-2023-51385。

该漏洞是由于OpenSSH处理主机名称中的特殊符号不严谨，如果用户名或主机名中含有shell元字符（如|‘“等），并且ssh_config中ProxyCommand、LocalCommand指令或”match exec”谓词通过%u、%h或类似的扩展标记引用用户或主机名时，可能会发生命令注入。攻击者可利用该漏洞在获得权限或钓鱼攻击的情况下，构造恶意数据执行命令注入攻击，最终获取服务器最高权限。

（一）漏洞影响范围：

OpenSSH<9.6

（二）漏洞修复建议：

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。

链接如下：https://www.openssh.com/openbsd.html