OpenVPN桌面客户端爆CSRF漏洞

OpenVPN桌面客户端爆CSRF漏洞

黑客教程访客2021-10-12 8:54:008873A+A-

  Consult的安全研究员发现OpenVPN的桌面客户端存在CSRF 漏洞 。成功利用该漏洞,可以实现远程命令执行。openvpn已经发布公告 ,建议受影响的客户端版本立刻升级到最新版。

  受影响版本:

  windows版本的OpenVPN Access Server "Desktop Client" app。版本号为1.5.6(漏洞发现时的最新版)及以前的版本。OpenVPN Connect,Private Tunnel和community builds 不受影响。

  漏洞概要:

  OpenVPN Access Server "Desktop Client"包括两个部分,一个windows服务,通过本地的webserver提供XML-RPC的api。一个GUI的组件来连接这些API。这些XML-RPC的API存在csrf的漏洞。利用这些api可以实现以下几种攻击:

  1,暴露受害者的真实信息。(比如,可以断开一个已经连接的VPN链接)

  2,实施中间人攻击。(可以让受害者连接到一个攻击者控制的VPN服务器)

  3,以SYSTEM权限执行任意命令。(通过添加一个VPN profile实现)

 

点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
  • 3条评论
  • 忿咬戈亓2022-06-01 21:40:16
  • Tunnel和community builds 不受影响。  漏洞概要:  OpenVPN Access Server "Desktop Client"包括两个部分,一个windows服务,通过本地的web
  • 寻妄冢渊2022-06-01 12:21:33
  • 实现以下几种攻击:  1,暴露受害者的真实信息。(比如,可以断开一个已经连接的VPN链接)  2,实施中间人攻击。(可以让受害者连接到一个攻击者控制的VPN服务器)  3,以SYSTEM权限执行任意命令。(通过添加一个VPN profile实现) 
  • 可难望笑2022-06-01 19:19:01
  • ilds 不受影响。  漏洞概要:  OpenVPN Access Server "Desktop Client"包括两个部分,一个windows服务,通过本地的webserver提供XML-RPC的api。一个GUI的组件来连

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理