Impatto Sistemico

Medio (64.48)

Sintesi

Disponibile un Proof of Concept (PoC) per lo sfruttamento della CVE-2018-25368 – già sanata dal vendor – presente nel client del software NordVPN, noto servizio di rete privata virtuale (VPN).

Tipologia

• Denial of Service

Descrizione e potenziali impatti

È stato recentemente reso pubblico un Proof of Concept (PoC) per la CVE-2018-25368 – di tipo “ Memory Allocation with Excessive Size Value ” e con CVSS v3.1 pari a 7.5. Un utente malintenzionato non autenticato, tramite l’inserimento di una stringa opportunamente predisposta nel campo password , potrebbe provocare il crash del client NordVPN e interrompere il servizio.

Prodotti e/o versioni affette

NordVPN versioni fino alla 6.14.31

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.