Пользователи VPN-клиента OpenVPN оказались под угрозой, в ПО нашли уязвимость, которая позволяет провайдерам VPN-услуг запускать на устройствах клиентов произвольные команды. Проблема затрагивает версии программы — от 2.7_alpha1 до 2.7_beta1. Риску в первую очередь подвержены компьютеры под управлением Linux, macOS и других UNIX-подобных операционных систем.
Суть уязвимости сводится к недостаточной проверке данных, которые клиент получает от сервера при подключении и специально подготовленные настройки DNS могут быть некорректно обработаны внутренним сценарием OpenVPN, отвечающим за конфигурацию сети, что открывает путь для выполнения вредоносного кода с правами администратора.
Эксперты по кибербезопасности обращают внимание, что угроза становится реальной только при соединении с непроверенными VPN-серверами. В такой ситуации злоумышленник потенциально может получить контроль над системой, скопировать конфиденциальные файлы или установить нежелательное программное обеспечение. Уязвимость, зарегистрированная как CVE-2025-10680, оценивается по шкале CVSS в 8.1 балла, что указывает на высокую степень опасности, при этом атака возможна без предварительной аутентификации злоумышленника.
Разработчики OpenVPN уже отреагировали на инцидент и выпустили обновленную версию 2.7_beta2, в которой проблема была устранена, однако рядовым пользователям не рекомендуется устанавливать тестовые сборки и дождаться выходы релизной версии версии.
Для пользователей, использующие стабильные релизы OpenVPN 2.6.x, угроза не актуальна. Данная ситуация служит напоминанием о том, что использование программного обеспечения на стадии активной разработки требует повышенного внимания к безопасности, особенно когда речь идет о инструментах, работающих с сетевым трафиком.