CVE-2025-10680

plus petit que 1 minute de lecture

Mis à jour : October 30, 2025

Injection de commandes via DNS dans OpenVPN

Une vulnérabilité, référencée CVE-2025-10680, impacte les versions d’OpenVPN 2.7_alpha1 à 2.7_beta1 sur les systèmes POSIX. Elle permet à un serveur OpenVPN distant et authentifié d’injecter des commandes shell en manipulant les variables DNS lorsque l’option de script --dns-updown est activée.

Points Clés :

La faille exploite la manière dont les options DNS sont traitées par le script --dns-updown.
Sur les systèmes Linux et similaires, les données DNS sont écrites dans un fichier temporaire.
Ce fichier temporaire est ensuite “sourcé” (exécuté comme un script) par un script exécuté avec les privilèges root.

Vulnérabilités :

CVE-2025-10680 : Injection de commandes shell à distance via des variables DNS sur les systèmes POSIX lorsque --dns-updown est utilisé.

Recommandations :

Appliquer les mises à jour d’OpenVPN qui incluent la correction de cette vulnérabilité par une validation appropriée des entrées.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

CVE-2025-10680

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast