CVE-2026-41070: Критична уразливість у openvpn-auth-oauth2 дозволяє обходити автентифікацію
Критична уразливість CVE-2026-41070 у openvpn-auth-oauth2 дозволяє обходити автентифікацію VPN. Оновіть до версії 1.27.3 для захисту мережі.
- CVSS
- 10.0 CRITICAL
- EPSS
- 35.15%
- Активно використовується
- немає в KEV
- Продукт
- -
Що відомо
У openvpn-auth-oauth2 версій від 1.26.3 до 1.27.3 у експериментальному режимі плагіна клієнти без підтримки WebAuth/SSO можуть отримати доступ до VPN, незважаючи на відмову в автентифікації. Проблема виправлена у версії 1.27.3.
Бізнес-вплив
Ця уразливість може призвести до несанкціонованого доступу до VPN-мережі, що ставить під загрозу безпеку корпоративної інфраструктури. ІТ-оператори повинні враховувати, що клієнти без підтримки WebAuth/SSO можуть обходити механізми автентифікації, якщо використовується експериментальний режим плагіна openvpn-auth-oauth2. Це створює високий ризик компрометації мережі та витоку даних.
Рекомендовані дії адміністратора
Рекомендується оновити openvpn-auth-oauth2 до версії 1.27.3 або новішої, де ця уразливість виправлена. Якщо оновлення наразі неможливе, слід уникати використання експериментального режиму плагіна та переглянути налаштування автентифікації для обмеження доступу. Також варто перевірити журнали доступу на предмет підозрілої активності та посилити моніторинг VPN-сервера.