Securepoint SSL VPN Client 访问控制错误漏洞

CNNVD-ID编号	CNNVD-202106-1900	CVE编号	CVE-2021-35523
发布时间	2021-06-28	更新时间	2021-06-29
漏洞类型	访问控制错误	漏洞来源	N/A
危险等级	N/A	威胁类型	本地
厂商	N/A

漏洞介绍

Securepoint SSL VPN Client是开源的一个SSL VPN 客户端，适用于 Windows。 Securepoint SSL VPN Client v2 中存在访问控制错误漏洞，该漏洞源于未对软件的配置功能做安全处理。攻击者可通过将本地权限升级到NT AUTHORITYSYSTEM，从而允许本地非特权用户可以修改“\\%APPDATA\\%Securepoint SSL VPN 下的OpenVPN配置，并添加一个以特权用户身份执行的外部脚本文件。以下产品及版本受到影响：Windows上2.0.32之前的Securepoint SSL VPN Client v2。

漏洞补丁

目前厂商已发布升级了Securepoint SSL VPN Client 访问控制错误漏洞的补丁，Securepoint SSL VPN Client 访问控制错误漏洞的补丁获取链接： https://github.com/Securepoint/openvpn-client/security/advisories/GHSA-v8p8-4w8f-qh34