Katalog CVE

CVE-2026-41070

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wtyczka openvpn-auth-oauth2 dla serwera OpenVPN ma lukę, która pozwala klientom nieobsługującym WebAuth/SSO na dostęp do VPN, mimo że powinni być odrzuceni przez logikę uwierzytelniania. Problem występuje w wersjach od 1.26.3 do przed 1.27.3, gdy wtyczka jest uruchomiona w trybie eksperymentalnym.

Ocena ryzyka

Organizacje mogą być narażone na nieautoryzowany dostęp do sieci VPN, co może prowadzić do wycieku danych lub innych incydentów bezpieczeństwa. Klienci, którzy nie powinni mieć dostępu, mogą uzyskać nieautoryzowane uprawnienia.

Rekomendacja

Zaleca się aktualizację wtyczki openvpn-auth-oauth2 do wersji 1.27.3 lub nowszej, aby usunąć tę lukę. Dodatkowo, warto rozważyć wyłączenie trybu eksperymentalnego, jeśli to możliwe.

Oryginalny opis (angielski, źródło NVD)

openvpn-auth-oauth2 is a plugin/management interface client for OpenVPN server to handle an OIDC based single sign-on (SSO) auth flows. From version 1.26.3 to before version 1.27.3, when openvpn-auth-oauth2 is deployed in the experimental plugin mode (shared library loaded by OpenVPN via the plugin directive), clients that do not support WebAuth/SSO (e.g., the openvpn CLI on Linux) are incorrectly admitted to the VPN despite being denied by the authentication logic. The default management-interface mode is not affected because it does not use the OpenVPN plugin return-code mechanism. This issue has been patched in version 1.27.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS