漏洞标题
N/A
漏洞描述信息
在OpenVPN Access Server 1.5.6及其更早版本中的桌面客户端的XML-RPC API中存在多个跨站点请求伪造(CSRF)漏洞,允许远程攻击者接管管理员的认证,用于以下请求:(1)断开已建立的VPN连接;(2)连接任意VPN服务器;或(3)通过构造API请求创建VPN模板并执行任意命令。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Multiple cross-site request forgery (CSRF) vulnerabilities in the XML-RPC API in the Desktop Client in OpenVPN Access Server 1.5.6 and earlier allow remote attackers to hijack the authentication of administrators for requests that (1) disconnecting established VPN sessions, (2) connect to arbitrary VPN servers, or (3) create VPN profiles and execute arbitrary commands via crafted API requests.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
OpenVPN Access Server Desktop Client 跨站请求伪造漏洞
漏洞描述信息
OpenVPN是美国OpenVPN公司的一个用于创建虚拟专用网络(VPN)加密通道的软件包,它使用OpenSSL库来加密数据与控制信息。OpenVPN Access Server是OpenVPN的商业收费版本,Desktop Client是其中的一个桌面客户端。 OpenVPN Access Server 1.5.6及之前版本的Desktop Client中XML-RPC API存在跨站请求伪造漏洞。远程攻击者可通过发送特制的API请求利用该漏洞断开已建立的VPN会话,连接到任意VPN服务器,或创建VPN
CVSS信息
N/A
漏洞类别
跨站请求伪造