CVE-2021-4234
https://notcve.org/view.php?id=CVE-2021-4234
OpenVPN Access Server 2.10 and prior versions are susceptible to resending multiple packets in a response to a reset packet sent from the client which the client again does not respond to, resulting in a limited amplification attack. OpenVPN Access Server versiones 2.10 y versiones anteriores, son susceptibles de reenviar múltiples paquetes en respuesta a un paquete de reinicio enviado desde el cliente al que éste no responde de nuevo, resultando en un ataque de amplificación limitada • https://openvpn.net/vpn-server-resources/release-notes/#openvpn-access-server-2-11-0 • CWE-406: Insufficient Control of Network Message Volume (Network Amplification) •
CVE-2022-33738
https://notcve.org/view.php?id=CVE-2022-33738
OpenVPN Access Server before 2.11 uses a weak random generator used to create user session token for the web portal OpenVPN Access Server versiones anteriores a 2.11, usa un generador aleatorio débil para crear un token de sesión de usuario para el portal web • https://openvpn.net/vpn-server-resources/release-notes/#openvpn-access-server-2-11-0 • CWE-331: Insufficient Entropy CWE-338: Use of Cryptographically Weak Pseudo-Random Number Generator (PRNG) •
CVE-2022-33737
https://notcve.org/view.php?id=CVE-2022-33737
The OpenVPN Access Server installer creates a log file readable for everyone, which from version 2.10.0 and before 2.11.0 may contain a random generated admin password El instalador de OpenVPN Access Server crea un archivo de registro legible para todo el mundo, que a partir de la versión 2.10.0 y versiones anteriores a 2.11.0, puede contener una contraseña de administrador generada aleatoriamente • https://openvpn.net/vpn-server-resources/release-notes • CWE-532: Insertion of Sensitive Information into Log File CWE-708: Incorrect Ownership Assignment •
CVE-2021-3824
https://notcve.org/view.php?id=CVE-2021-3824
OpenVPN Access Server 2.9.0 through 2.9.4 allow remote attackers to inject arbitrary web script or HTML via the web login page URL. OpenVPN Access Server versiones 2.9.0 hasta 2.9.4, permiten a atacantes remotos inyectar script web o HTML arbitrario por medio de la URL de la página de inicio de sesión • https://openvpn.net/vpn-server-resources/release-notes/#openvpn-access-server-2-9-5 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') CWE-84: Improper Neutralization of Encoded URI Schemes in a Web Page •
CVE-2020-36382
https://notcve.org/view.php?id=CVE-2020-36382
OpenVPN Access Server 2.7.3 to 2.8.7 allows remote attackers to trigger an assert during the user authentication phase via incorrect authentication token data in an early phase of the user authentication resulting in a denial of service. OpenVPN Access Server versiones 2.7.3 a 2.8.7, permite a atacantes remotos desencadenar una aserción durante la fase de autenticación del usuario por medio de datos de token de autenticación incorrectos en una fase temprana de la autenticación del usuario, resultando en una denegación de servicio • https://openvpn.net/security-advisory/access-server-security-update-cve-2020-15077-cve-2020-36382 https://openvpn.net/vpn-server-resources/release-notes • CWE-617: Reachable Assertion CWE-754: Improper Check for Unusual or Exceptional Conditions •