Krytyczna luka w openvpn-auth-oauth2 umożliwiająca nieautoryzowany dostęp VPN
Krytyczna luka w openvpn-auth-oauth2 pozwala na nieautoryzowany dostęp do VPN. Aktualizuj do wersji 1.27.3, aby zabezpieczyć system.
- CVSS
- 10.0 CRITICAL
- EPSS
- 35.15%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
Wtyczka openvpn-auth-oauth2 w wersjach od 1.26.3 do przed 1.27.3, używana w trybie eksperymentalnym pluginu, błędnie dopuszcza klientów bez wsparcia WebAuth/SSO do sieci VPN mimo odrzucenia przez logikę uwierzytelniania. Problem nie dotyczy domyślnego trybu interfejsu zarządzania. Luka została załatana w wersji 1.27.3.
Wpływ biznesowy
Ta krytyczna luka może pozwolić nieautoryzowanym użytkownikom na dostęp do zasobów sieci VPN, co stwarza poważne ryzyko naruszenia bezpieczeństwa i wycieku danych. Operatorzy systemów korzystających z openvpn-auth-oauth2 w trybie plugin powinni pilnie zweryfikować swoje wersje i środki kontroli dostępu, aby zapobiec potencjalnym atakom.
Rekomendowane działania administratora
Zaleca się natychmiastową aktualizację openvpn-auth-oauth2 do wersji 1.27.3 lub nowszej. W przypadku niemożności szybkiej aktualizacji, ograniczyć użycie trybu eksperymentalnego pluginu oraz monitorować logi uwierzytelniania pod kątem nietypowych prób dostępu. Przegląd konfiguracji i polityk dostępu VPN jest wskazany, aby zminimalizować ryzyko.