Vulnerabilidad en AWS Client VPN de Windows

Se ha descubierto una vulnerabilidad de severidad alta en AWS Client VPN para dispositivos Windows. Un actor malicioso podría ejecutar código arbitrario con privilegios de administrador.

Productos afectados

  • AWS Client VPN, versiones 5.2.1 y anteriores para Windows.

Impacto

La vulnerabilidad se ha identificado como:

CVE-2025-8069: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad durante la instalación en dispositivos Windows, el proceso de instalación extrae el archivo de configuración OpenSSL desde «C:\usr\local\windows-x86_64-openssl-localbuild\ssl». Un actor malicioso sin privilegios podría colocar código arbitrario en el archivo de configuración, si un usuario administrador inicia el proceso de instalación de AWS Client VPN, el código será ejecutado con privilegios de administrador. No afecta a dispositivos Linux o Mac.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

  • https://aws.amazon.com/es/security/security-bulletins/AWS-2025-014/
  • https://nvd.nist.gov/vuln/detail/CVE-2025-8069