[TLP:CLEAR] OpenVPN Connect opravuje kritickou zranitelnost
OpenVPN Connect pro macOS verzí 3.8.2 opravuje 1 kritickou zranitelnost [1][2].
Neautentizovanému lokálnímu útočníkovi je kvůli zranitelnosti typu OS command injection v komponentě služby běžící na pozadí OpenVPN Connect pro macOS umožněno prostřednictvím lokálního IPC kanálu spustit libovolné příkazy s oprávněními root [1]. Pro efektivní mitigaci rizika je třeba aktualizovat OpenVPN Connect na opravenou verzi, omezit lokální přístup k neaktualizovaným systémům a monitorovat anomálie v jejich IPC komunikaci, aby se zabránilo případnému šíření útoku v síti [3].
Zranitelnost se nachází v produktu OpenVPN Connect (macOS) ve verzích >=3.5.1 AND <=3.8.1.
CVSS: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Více informací:
- CVE-2026-9560 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 26. 5. 2026.
Odkazy
Za CESNET-CERTS Michaela Jarošová dne 1. 6. 2026.
