CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 0CVE-2024-8474
https://notcve.org/view.php?id=CVE-2024-8474
06 Jan 2025 — OpenVPN Connect before version 3.5.0 can contain the configuration profile's clear-text private key which is logged in the application log, which an unauthorized actor can use to decrypt the VPN traffic OpenVPN Connect anterior a la versión 3.5.0 puede contener la clave privada en texto plano del perfil de configuración que se registra en el registro de la aplicación, que un actor no autorizado puede usar para descifrar el tráfico VPN. • https://openvpn.net/connect-docs/android-release-notes.html • CWE-212: Improper Removal of Sensitive Information Before Storage or Transfer •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2023-7245
https://notcve.org/view.php?id=CVE-2023-7245
20 Feb 2024 — The nodejs framework in OpenVPN Connect 3.0 through 3.4.3 (Windows)/3.4.7 (macOS) was not properly configured, which allows a local user to execute arbitrary code within the nodejs process context via the ELECTRON_RUN_AS_NODE environment variable El framework nodejs en OpenVPN Connect 3.0 a 3.4.3 (Windows)/3.4.7 (macOS) no se configuró correctamente, lo que permite a un usuario local ejecutar código arbitrario dentro del contexto del proceso nodejs a través de la variable de entorno ELECTRON_RUN_AS_NODE • https://openvpn.net/vpn-server-resources/openvpn-connect-for-macos-change-log • CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2023-7224
https://notcve.org/view.php?id=CVE-2023-7224
08 Jan 2024 — OpenVPN Connect version 3.0 through 3.4.6 on macOS allows local users to execute code in external third party libraries using the DYLD_INSERT_LIBRARIES environment variable OpenVPN Connect versión 3.0 a 3.4.6 en macOS permite a los usuarios locales ejecutar código en librerías externas de terceros utilizando la variable de entorno DYLD_INSERT_LIBRARIES • https://openvpn.net/vpn-server-resources/openvpn-connect-for-macos-change-log • CWE-94: Improper Control of Generation of Code ('Code Injection') CWE-95: Improper Neutralization of Directives in Dynamically Evaluated Code ('Eval Injection') •
CVSS: 5.9EPSS: 0%CPEs: 2EXPL: 0CVE-2022-3761
https://notcve.org/view.php?id=CVE-2022-3761
17 Oct 2023 — OpenVPN Connect versions before 3.4.0.4506 (macOS) and OpenVPN Connect before 3.4.0.3100 (Windows) allows man-in-the-middle attackers to intercept configuration profile download requests which contains the users credentials Las versiones de OpenVPN Connect anteriores a 3.4.0.4506 (macOS) y OpenVPN Connect anteriores a 3.4.0.3100 (Windows) permiten a atacantes intermediarios interceptar solicitudes de descarga de perfiles de configuración que contienen las credenciales de los usuarios. • https://openvpn.net/vpn-server-resources/openvpn-connect-for-macos-change-log • CWE-295: Improper Certificate Validation •
CVSS: 7.8EPSS: 0%CPEs: 1EXPL: 0CVE-2021-3613
https://notcve.org/view.php?id=CVE-2021-3613
02 Jul 2021 — OpenVPN Connect 3.2.0 through 3.3.0 allows local users to load arbitrary dynamic loadable libraries via an OpenSSL configuration file if present, which allows the user to run arbitrary code with the same privilege level as the main OpenVPN process (OpenVPNConnect.exe). OpenVPN Connect versiones 3.2.0 hasta 3.3.0, permite a usuarios locales cargar bibliotecas dinámicas arbitrarias por medio de un archivo de configuración de OpenSSL si está presente, permitiendo a un usuario ejecutar código arbitrario con el ... • https://openvpn.net/vpn-server-resources/openvpn-connect-for-windows-change-log • CWE-427: Uncontrolled Search Path Element •
CVSS: 7.1EPSS: 0%CPEs: 1EXPL: 0CVE-2020-15075
https://notcve.org/view.php?id=CVE-2020-15075
30 Mar 2021 — OpenVPN Connect installer for macOS version 3.2.6 and older may corrupt system critical files it should not have access via symlinks in /tmp. El instalador de OpenVPN Connect para macOS versión 3.2.6 y anteriores, puede corromper archivos críticos del sistema a los que no debería tener acceso por medio de enlaces simbólicos en /tmp. • https://openvpn.net/vpn-server-resources/openvpn-connect-for-macos-change-log • CWE-59: Improper Link Resolution Before File Access ('Link Following') CWE-61: UNIX Symbolic Link (Symlink) Following •
CVSS: 7.8EPSS: 1%CPEs: 2EXPL: 1CVE-2020-9442
https://notcve.org/view.php?id=CVE-2020-9442
28 Feb 2020 — OpenVPN Connect 3.1.0.361 on Windows has Insecure Permissions for %PROGRAMDATA%\OpenVPN Connect\drivers\tap\amd64\win10, which allows local users to gain privileges by copying a malicious drvstore.dll there. OpenVPN Connect versión 3.1.0.361 sobre Windows, presenta Permisos No Seguros para %PROGRAMDATA%\OpenVPN Connect\drivers\tap\amd64\win10, lo que permite a usuarios locales alcanzar privilegios al copiar una biblioteca drvstore.dll maliciosa. • https://github.com/hessandrew/CVE-2020-9442 • CWE-281: Improper Preservation of Permissions •