OpenVPN桌面客户端爆CSRF漏洞(可远程执行命令)

页面导航:首页 > 网络安全 > 漏洞分析 > OpenVPN桌面客户端爆CSRF漏洞(可远程执行命令)

OpenVPN桌面客户端爆CSRF漏洞(可远程执行命令)

来源:互联网 作者:脚本宝典 时间:2015-07-19 16:03 【

受影响版本: windows版本的OpenVPN Access Server Desktop Client app。版本号为1.5.6(漏洞发现时的最新版)及以前的版本。OpenVPN Connect,Private Tunnel和community builds 不受影响。 漏洞概要: OpenVPN A

受影响版本:

windows版本的OpenVPN Access Server "Desktop Client" app。版本号为1.5.6(漏洞发现时的最新版)及以前的版本。OpenVPN Connect,Private Tunnel和community builds 不受影响。

漏洞概要:

OpenVPN Access Server "Desktop Client"包括两个部分,一个windows服务,通过本地的webserver提供XML-RPC的api。一个GUI的组件来连接这些API。这些XML-RPC的API存在csrf的漏洞。利用这些api可以实现以下几种攻击:

1,暴露受害者的真实信息。(比如,可以断开一个已经连接的VPN链接)
2,实施中间人攻击。(可以让受害者连接到一个攻击者控制的VPN服务器)
3,以SYSTEM权限执行任意命令。(通过添加一个VPN profile实现)


Tags:

文章评论

最 近 更 新
热 点 排 行
Js与CSS工具
代码转换工具

<