CVE-2025-61984

CVE-2025-61984 : Injection de commandes dans OpenSSH

Une vulnérabilité dans OpenSSH, identifiée sous le numéro CVE-2025-61984, permet l’exécution de code à distance sur un système client. Le problème provient d’un filtrage insuffisant des caractères de contrôle dans les noms d’utilisateur lors de l’expansion de la chaîne ProxyCommand.

Ce défaut survient lorsque le token %r est utilisé dans la directive ProxyCommand du fichier de configuration SSH de l’utilisateur (~/.ssh/config), intégrant ainsi le nom d’utilisateur distant. Un attaquant peut insérer des caractères de contrôle, comme des sauts de ligne, dans le nom d’utilisateur. Ces caractères peuvent interrompre l’invocation prévue de la commande exec, permettant à l’attaquant d’exécuter des commandes arbitraires avec les privilèges du client SSH.

Un scénario d’attaque typique implique une URL de sous-module Git malveillante. Si un utilisateur clone un dépôt contenant une entrée .gitmodules spécialement conçue et une configuration proxy SSH correspondante, les caractères de contrôle injectés activent l’exécution de scripts arbitraires via la commande proxy avant l’établissement de la connexion SSH.

Points Clés :

• Nature de la vulnérabilité : Injection de commandes (Command Injection).
• Impact : Exécution de code à distance (Remote Code Execution - RCE) sur le système client.
• Cause : Filtrage inadéquat des caractères de contrôle dans les noms d’utilisateur utilisés avec ProxyCommand via le token %r.
• Scénario d’attaque : Exploitation via des sous-modules Git malveillants dans un dépôt cloné.

Vulnérabilités :

• CVE : CVE-2025-61984

Recommandations :

• Mettre à jour OpenSSH vers une version corrigée. L’article indique que les versions affectées vont jusqu’à et incluant 10.0p1.

Source