一、 漏洞 CVE-2025-10680 基础信息
漏洞信息
# N/A
## 概述
OpenVPN 2.7_alpha1 至 2.7_beta1 版本在基于 POSIX 的平台上存在命令注入漏洞。当启用了 `--dns-updown` 功能时,远程认证的服务器可以利用 DNS 变量注入 shell 命令。
## 影响版本
- OpenVPN 2.7_alpha1
- OpenVPN 2.7_beta1
## 细节
漏洞源于 OpenVPN 在处理 DNS 配置时未正确过滤或转义 DNS 变量中的用户输入。当客户端连接并启用 `--dns-updown` 选项(用于通过脚本调整 DNS 设置)时,服务器可提供恶意构造的 DNS 值,导致命令注入到客户端运行的脚本中。
## 影响
远程认证的攻击者(即恶意服务器)可能在受影响的 OpenVPN 客户端上执行任意 shell 命令,从而导致潜在的系统控制、信息泄露或其他攻击行为。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
OpenVPN 2.7_alpha1 through 2.7_beta1 on POSIX based platforms allows a remote authenticated server to inject shell commands via DNS variables when --dns-updown is in use
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-10680 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-10680 的情报信息
![[Openvpn-announce] OpenVPN 2.7_beta2 released](https://cvepdf.imfht.com:2443//ti_screenshot/2025-10-24/screenshot-full-2025-10-24T11-05-09.329Z-57ea8daa3fa8095efd30.webp)
四、漏洞 CVE-2025-10680 的评论
暂无评论