V sadě síťových nástrojů OpenSSH byly objeveny dvě bezpečnostní chyby, jejichž úspěšné zneužití může za určitých podmínek vést k aktivnímu útoku typu MitM a DoS. Obě zranitelnosti byly vyřešeny ve verzi OpenSSH 9.9p2, kterou už vývojáři OpenSSH vydali.
Chyba s označením CVE-2025–26465 (CVSS skóre: 6.8) je v OpenSSH mezi verzemi 6.8p1 až 9.9p1 (včetně), které obsahují logickou chybu, která jej činí zranitelným vůči aktivnímu útoku MitM, pokud je povolena volba VerifyHostKeyDNS, což umožňuje záškodníkovi vydávat se za legitimní server, když se k němu klient pokouší připojit.
Druhá chyba je označená jako CVE-2025–26465 (skóre CVSS: 5,9) a týká se klienta i serveru OpenSSH. Zranitelné jsou verze od 9.5p1 do 9.9p1 (včetně) a je možné je donutit zvýšit spotřebu paměti a výkon procesoru, čímž je možné odepřít službu běžným uživatelům.
