OpenVPN桌面客户端爆CSRF漏洞

安全 漏洞
Consult的安全研究员发现OpenVPN的桌面客户端存在CSRF 漏洞。成功利用该漏洞,可以实现远程命令执行。openvpn已经发布公告 ,建议受影响的客户端版本立刻升级到最新版。

Consult的安全研究员发现OpenVPN的桌面客户端存在CSRF 漏洞 。成功利用该漏洞,可以实现远程命令执行。openvpn已经发布公告 ,建议受影响的客户端版本立刻升级到最新版。 

 

受影响版本:

windows版本的OpenVPN Access Server "Desktop Client" app。版本号为1.5.6(漏洞发现时的最新版)及以前的版本。OpenVPN Connect,Private Tunnel和community builds 不受影响。

漏洞概要:

OpenVPN Access Server "Desktop Client"包括两个部分,一个windows服务,通过本地的webserver提供XML-RPC的api。一个GUI的组件来连接这些API。这些XML-RPC的API存在csrf的漏洞。利用这些api可以实现以下几种攻击:

1,暴露受害者的真实信息。(比如,可以断开一个已经连接的VPN链接)

2,实施中间人攻击。(可以让受害者连接到一个攻击者控制的VPN服务器)

3,以SYSTEM权限执行任意命令。(通过添加一个VPN profile实现)

责任编辑:林琳 来源: FreeBuf
相关推荐

2014-06-12 13:44:19

2009-03-04 10:27:50

客户端组件桌面虚拟化Xendesktop

2018-06-05 11:19:36

2012-10-29 14:56:31

桌面虚拟化

2022-11-28 14:15:03

2022-05-10 21:01:41

openVPN客户端IP

2009-03-18 14:44:34

LinuxqTwitterTwitter

2020-12-04 19:18:03

LinuxMySQLDBeaver

2015-08-03 15:38:06

2021-08-22 14:52:00

漏洞网络安全网络攻击

2009-09-24 13:16:31

虚拟桌面安全软件客户端安全

2011-06-08 14:30:54

SkypeWindows微软

2021-11-15 06:00:14

JSPanda扫描漏洞

2021-09-22 15:46:29

虚拟桌面瘦客户端胖客户端

2011-08-17 10:10:59

2015-07-28 15:35:45

Linux安装Google

2012-12-11 16:39:26

hypervisor桌面虚拟化

2011-07-08 09:53:36

OracleCitrix

2009-08-06 15:53:28

2012-10-19 13:37:08

点赞
收藏

51CTO技术栈公众号