CVE-2023-7235
https://notcve.org/view.php?id=CVE-2023-7235
The OpenVPN GUI installer before version 2.6.9 did not set the proper access control restrictions to the installation directory of OpenVPN binaries when using a non-standard installation path, which allows an attacker to replace binaries to run arbitrary executables. El instalador de la GUI de OpenVPN anterior a la versión 2.6.9 no establecía las restricciones de control de acceso adecuadas al directorio de instalación de los archivos binarios de OpenVPN cuando usaba una ruta de instalación no estándar, lo que permite a un atacante reemplazar archivos binarios para ejecutar ejecutables arbitrarios. • https://community.openvpn.net/openvpn/wiki/CVE-2023-7235 • CWE-276: Incorrect Default Permissions •
CVE-2023-6247
https://notcve.org/view.php?id=CVE-2023-6247
The PKCS#7 parser in OpenVPN 3 Core Library versions through 3.8.3 did not properly validate the parsed data, which would result in the application crashing. El analizador PKCS#7 en las versiones de OpenVPN 3 Core Library hasta 3.8.3 no validó correctamente los datos analizados, lo que provocaría que la aplicación fallara. • https://community.openvpn.net/openvpn/wiki/CVE-2023-6247 • CWE-476: NULL Pointer Dereference •
CVE-2023-46850
https://notcve.org/view.php?id=CVE-2023-46850
Use after free in OpenVPN version 2.6.0 to 2.6.6 may lead to undefined behavoir, leaking memory buffers or remote execution when sending network buffers to a remote peer. Use after free en OpenVPN versión 2.6.0 a 2.6.6 puede provocar un comportamiento indefinido, pérdida de búferes de memoria o ejecución remota al enviar búferes de red a un par remoto. • https://community.openvpn.net/openvpn/wiki/CVE-2023-46850 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/L3FS46ANNTAVLIQY56ZKGM5CBTRVBUNE https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/O54I7D753V6PU6XBU26FEROD2DSHEJQ4 https://openvpn.net/security-advisory/access-server-security-update-cve-2023-46849-cve-2023-46850 https://www.debian.org/security/2023/dsa-5555 • CWE-416: Use After Free •
CVE-2023-46849
https://notcve.org/view.php?id=CVE-2023-46849
Using the --fragment option in certain configuration setups OpenVPN version 2.6.0 to 2.6.6 allows an attacker to trigger a divide by zero behaviour which could cause an application crash, leading to a denial of service. El uso de la opción --fragment en ciertas configuraciones de OpenVPN versión 2.6.0 a 2.6.6 permite a un atacante desencadenar un comportamiento de división por cero que podría provocar un bloqueo de la aplicación y provocar una denegación de servicio. • https://community.openvpn.net/openvpn/wiki/CVE-2023-46849 https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/L3FS46ANNTAVLIQY56ZKGM5CBTRVBUNE https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/O54I7D753V6PU6XBU26FEROD2DSHEJQ4 https://openvpn.net/security-advisory/access-server-security-update-cve-2023-46849-cve-2023-46850 https://www.debian.org/security/2023/dsa-5555 • CWE-369: Divide By Zero •
CVE-2020-20813
https://notcve.org/view.php?id=CVE-2020-20813
Control Channel in OpenVPN 2.4.7 and earlier allows remote attackers to cause a denial of service via crafted reset packet. El componente Control Channel de OpenVPN v2.4.7 y anteriores permite a atacantes remotos provocar una denegación de servicio a través de un paquete de restablecimiento manipulado. • https://www.freebuf.com/vuls/215171.html • CWE-400: Uncontrolled Resource Consumption •