CVE-2025-10680

plus petit que 1 minute de lecture

Mis à jour : October 29, 2025

Injection de commandes via les variables DNS dans OpenVPN

Une faille de sécurité, identifiée sous le nom de CVE-2025-10680, affecte les versions d’OpenVPN comprises entre 2.7_alpha1 et 2.7_beta1 sur les systèmes de type POSIX. Cette vulnérabilité permet à un serveur OpenVPN distant et authentifié d’injecter des commandes shell en exploitant les variables DNS, lorsque l’option --dns-updown est activée.

Sur des systèmes comme Linux, les options DNS sont enregistrées dans un fichier temporaire. Ce fichier est ensuite traité par un script exécuté avec des privilèges root. Un serveur malveillant peut ainsi injecter des scripts dans ce fichier, menant à une exécution de commandes non autorisée.

La vulnérabilité a été corrigée par l’implémentation d’une désinfection adéquate des entrées dans les versions ultérieures d’OpenVPN.

Points clés :

Vulnérabilité d’injection de commandes dans OpenVPN.
Exploitable par un serveur distant authentifié.
Utilise les variables DNS lorsque l’option --dns-updown est activée.
Concerne les versions 2.7_alpha1 à 2.7_beta1 sur les plateformes POSIX.

Vulnérabilité :

CVE-2025-10680

Recommandations :

Mettre à jour OpenVPN vers une version corrigée qui inclut une désinfection appropriée des entrées.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-10680

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast