CSIRT Toscana Risolta vulnerabilità in OpenVPN (AL01/251027/CSIRT-ITA)
Data:
24 Novembre 2025
Impatto Sistemico
Alto (74.1)
Sintesi
Aggiornamenti di sicurezza risolvono una nuova vulnerabilità in OpenVPN, software open-source per la creazione di reti private virtuali (VPN). Tale vulnerabilità potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario sul sistema interessato.
Tipologia
- Remote Code Execution
Prodotti e/o versioni affette
OpenVPN
- dalla versione 2.7_alpha1 alla 2.7_beta1
N.B. Come indicato dal vendor, si evidenzia che i prodotti elencati risultano vulnerabili solo su piattaforme POSIX, come BSD, Linux, macOS e piattaforme simili.
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di applicare le mitigazioni disponibili seguendo le indicazioni riportate nei bollettini di sicurezza nella sezione Riferimenti.
Riferimenti
- https://www.mail-archive.com/openvpn-announce@lists.sourceforge.net/msg00149.html
- https://community.openvpn.net/Security%20Announcements/CVE-2025-10680
- https://github.com/advisories/GHSA-wfq6-x28p-qgh6
CVE
| CVE-ID |
|---|
| CVE-2025-10680 |
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 27-10-2025 | 27/10/2025 |
| 1.1 | Aggiornata la sezione “CVE” con presenza PoC per lo sfruttamento della CVE-2025-10680. Aggiornato Impatto Sistemico | 24/11/2025 |
Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link
Ultimo aggiornamento
24 Novembre 2025, 16:30