Fecha de publicación: 26/02/2021
Importancia:Alta
Recursos afectados:
OpenVPN-Client, versiones 1.4.1.0 y anteriores.
Descripción:
Sharon Brizinov, de Claroty, ha reportado al CISA estas vulnerabilidades, de severidad alta, que podría permitir a un atacante la escalada de privilegios local o la ejecución remota de código.
Solución:
Actualizar a la versión 1.6.0.
Detalle:
Un atacante podría aprovecharse de la arquitectura y enviar el comando config desde cualquier aplicación que se ejecute en el equipo anfitrión local para forzar al servidor backend a inicializar una nueva instancia de open-VPN con una configuración de open-VPN arbitraria. Esto podría resultar en la ejecución de comandos con privilegios del usuario SYSTEM. Se ha asignado el identificador CVE-2021-27406 para esta vulnerabilidad.
Etiquetas:Actualización, Infraestructuras críticas, Vulnerabilidad