Nella giornata di ieri è stata pubblicata CVE-2025-61984 una falla in OpenSSH, che permette potenzialmente l’esecuzione di comandi sul client quando ProxyCommand viene usato con nomi utente contenenti caratteri di controllo (per esempio newline). Alcuni flussi di input in OpenSSH non eliminavano correttamente caratteri di controllo inseriti nei nomi utente. Un attaccante può sfruttare questo comportamento costruendo un nome utente contenente, ad esempio, un newline seguito da una stringa che dovrebbe essere interpretata come comando. Quando quel nome utente viene inserito nella stringa invocata dal ProxyCommand, alcune shell non si fermano all’errore di sintassi introdotto dal newline e continuano l’esecuzione: la riga