OpenVPN桌面客户端爆CSRF漏洞

黑客教程访客2021-10-12 8:54:008603A⁺A^-

　　Consult的安全研究员发现OpenVPN的桌面客户端存在CSRF 漏洞。成功利用该漏洞，可以实现远程命令执行。openvpn已经发布公告，建议受影响的客户端版本立刻升级到最新版。

　　受影响版本：

　　windows版本的OpenVPN Access Server "Desktop Client" app。版本号为1.5.6(漏洞发现时的最新版)及以前的版本。OpenVPN Connect，Private Tunnel和community builds 不受影响。

　　漏洞概要：

　　OpenVPN Access Server "Desktop Client"包括两个部分，一个windows服务，通过本地的webserver提供XML-RPC的api。一个GUI的组件来连接这些API。这些XML-RPC的API存在csrf的漏洞。利用这些api可以实现以下几种攻击：

　　1，暴露受害者的真实信息。(比如，可以断开一个已经连接的VPN链接)

　　2，实施中间人攻击。(可以让受害者连接到一个攻击者控制的VPN服务器)

　　3，以SYSTEM权限执行任意命令。(通过添加一个VPN profile实现)

点击这里复制本文地址以上内容由黑资讯整理呈现，请务必在转载分享时注明本文地址！如对内容有疑问，请联系我们，谢谢！

忿咬戈亓2022-06-01 21:40:16
Tunnel和community builds 不受影响。　　漏洞概要：　　OpenVPN Access Server "Desktop Client"包括两个部分，一个windows服务，通过本地的web

寻妄冢渊2022-06-01 12:21:33
实现以下几种攻击：　　1，暴露受害者的真实信息。(比如，可以断开一个已经连接的VPN链接)　　2，实施中间人攻击。(可以让受害者连接到一个攻击者控制的VPN服务器)　　3，以SYSTEM权限执行任意命令。(通过添加一个VPN profile实现)

可难望笑2022-06-01 19:19:01
ilds 不受影响。　　漏洞概要：　　OpenVPN Access Server "Desktop Client"包括两个部分，一个windows服务，通过本地的webserver提供XML-RPC的api。一个GUI的组件来连