漏洞信息(CVE-2022-25166)

一、漏洞 CVE-2022-25166 基础信息

漏洞标题

N/A

来源：AIGC 神龙大模型

漏洞描述信息

在亚马逊AWS VPN客户端2.0.0中发现一个问题。在引用参数(如auth-user-pass)的文件中，可以包含一个 UNC 路径。当此文件导入并客户端试图验证文件路径时，它对该路径进行打开操作，并将用户的Net-NTLMv2哈希 leaks 到外部服务器。这可以通过让用户打开精心构造的恶意ovpn配置文件来利用。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

N/A

来源：美国国家漏洞数据库 NVD

漏洞描述信息

An issue was discovered in Amazon AWS VPN Client 2.0.0. It is possible to include a UNC path in the OpenVPN configuration file when referencing file paths for parameters (such as auth-user-pass). When this file is imported and the client attempts to validate the file path, it performs an open operation on the path and leaks the user's Net-NTLMv2 hash to an external server. This could be exploited by having a user open a crafted malicious ovpn configuration file.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

N/A

来源：美国国家漏洞数据库 NVD

漏洞标题

Amazon AWS VPN Client 信息泄露漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Amazon AWS VPN Client是美国亚马逊（Amazon）公司的一种完全托管的远程访问 VPN 解决方案。 Amazon AWS VPN Client for Windows 2.0.0 版本存在安全漏洞，该漏洞源于允许任意文件写入系统，并部分控制内容。这可能会导致本地权限提升或拒绝服务。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

信息泄露

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2022-25166 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2022-25166 的情报信息

https://github.com/RhinoSecurityLabs/CVEs x_refsource_MISC
https://rhinosecuritylabs.com/aws/cve-2022-25165-aws-vpn-client/ x_refsource_MISC
https://nvd.nist.gov/vuln/detail/CVE-2022-25166

一、 漏洞 CVE-2022-25166 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2022-25166 的公开POC

三、漏洞 CVE-2022-25166 的情报信息

一、漏洞 CVE-2022-25166 基础信息