Alvorlig sårbarhed i OpenVPN

En alvorlig sårbarhed er blevet identificeret i OpenVPN, som potentielt kan udnyttes til at indsætte og eksekvere shell-kommandoer via DNS-variabler. 

Sårbarheden har id'et EUVD-2025-35830 / CVE-2025-10680 og påvirker versioner fra 2.7_alpha1 til og med 2.7_beta1 på POSIX-baserede systemer. CVSS-scoren er 8,8 og EPSS pt. 0,12 pct.

Sårbarheden opstår, når OpenVPN er konfigureret med --dns-updown-flaget. I dette scenarie kan en fjernautentificeret server udnytte DNS-variabler til at injicere shell-kommandoer, hvilket i praksis kan give angriberen mulighed for at udføre vilkårlig kode på klientens system.  

Der er på nuværende tidspunkt ikke rapporteret om aktiv udnyttelse af sårbarheden, men risikoen for misbrug vurderes som væsentlig – særligt i miljøer, hvor OpenVPN anvendes til sikker fjernadgang til netværk og systemer med følsomme data.

Det anbefales, at alle installationer af OpenVPN, der benytter versioner mellem 2.7_alpha1 og 2.7_beta1, opdateres omgående til en sikker version. Det er desuden vigtigt at gennemgå konfigurationer, hvor --dns-updown anvendes, og vurdere behovet for denne funktionalitet.

Yderligere tekniske detaljer og opdateringsvejledninger kan findes i producentens sikkerhedsmeddelelse.