| Golden Frog VyprVPN 2.12.1.8015 per Windows soffre di una vulnerabilità di scalata sistema di privilegi attraverso il servizio ""VyprVPN"". Questo servizio stabilisce un endpoint NetNamedPipe che consente alle applicazioni di connettersi e chiamare metodi esposti pubblicamente. Il metodo ""SetProperty"" permette ad un aggressore di configurare il ""AdditionalOpenVpnParameters"" proprietà e controllare la riga di comando OpenVPN. Utilizzando l’OpenVPN ""plugin"" parametro, un malintenzionato può specificare una libreria dinamica plugin che dovrebbe funzionare per ogni nuovo tentativo di connessione VPN. Questo plugin eseguire codice nel contesto dell’utente SYSTEM. Questo attacco può essere condotta utilizzando ""VyprVPN Free"" credenziali di account e la VyprVPN Desktop Client. |
| https://github.com/VerSprite/research/blob/master/advisories/VS-2018-025.md https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-10645 |
Vulnerabilità: CVE-2018-10645
