Krytyczna luka w openvpn-auth-oauth2 umożliwiająca nieautoryzowany dostęp VPN

Krytyczna luka w openvpn-auth-oauth2 pozwala na nieautoryzowany dostęp do VPN. Aktualizuj do wersji 1.27.3, aby zabezpieczyć system.
CVE-2026-41070CVSS 10.0Linux

Krytyczna luka w openvpn-auth-oauth2 umożliwiająca nieautoryzowany dostęp VPN

Krytyczna luka w openvpn-auth-oauth2 pozwala na nieautoryzowany dostęp do VPN. Aktualizuj do wersji 1.27.3, aby zabezpieczyć system.

CVSS
10.0 CRITICAL
EPSS
35.15%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

Wtyczka openvpn-auth-oauth2 w wersjach od 1.26.3 do przed 1.27.3, używana w trybie eksperymentalnym pluginu, błędnie dopuszcza klientów bez wsparcia WebAuth/SSO do sieci VPN mimo odrzucenia przez logikę uwierzytelniania. Problem nie dotyczy domyślnego trybu interfejsu zarządzania. Luka została załatana w wersji 1.27.3.

Wpływ biznesowy

Ta krytyczna luka może pozwolić nieautoryzowanym użytkownikom na dostęp do zasobów sieci VPN, co stwarza poważne ryzyko naruszenia bezpieczeństwa i wycieku danych. Operatorzy systemów korzystających z openvpn-auth-oauth2 w trybie plugin powinni pilnie zweryfikować swoje wersje i środki kontroli dostępu, aby zapobiec potencjalnym atakom.

Rekomendowane działania administratora

Zaleca się natychmiastową aktualizację openvpn-auth-oauth2 do wersji 1.27.3 lub nowszej. W przypadku niemożności szybkiej aktualizacji, ograniczyć użycie trybu eksperymentalnego pluginu oraz monitorować logi uwierzytelniania pod kątem nietypowych prób dostępu. Przegląd konfiguracji i polityk dostępu VPN jest wskazany, aby zminimalizować ryzyko.

Źródła