Se ha descubierto una vulnerabilidad de severidad alta en OpenVPN. Un actor malicioso podría ejecutar comandos arbitrarios remotamente en sistemas afectados.
Productos afectados
- OpenVPN: desde la versión 2.7_alpha1 hasta la 2.7_beta1 (Sólo plataformas POSIX: Linux, BSD, macOS y similares)
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025-10680: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de inyección de comandos cuando la opción –dns-updown está en uso. Un servidor OpenVPN remoto autenticado puede explotar variables DNS para inyectar y ejecutar comandos de shell en el sistema cliente.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias
- https://nvd.nist.gov/vuln/detail/CVE-2025-10680
- https://community.openvpn.net/Security%20Announcements/CVE-2025-10680