CVE-2026-41070 openvpn-auth-oauth2认证绕过漏洞

漏洞信息

漏洞编号

CVE-2026-41070

漏洞类型

认证绕过

CVSS评分

10.0 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

openvpn-auth-oauth2

漏洞概述

openvpn-auth-oauth2在实验性插件模式下存在认证绕过漏洞。受影响版本中，当客户端不支持WebAuth/SSO时，尽管认证逻辑拒绝了连接，但插件仍错误地允许其接入VPN。默认管理接口模式不受影响。攻击者无需认证即可利用此漏洞获取未授权的VPN访问权限，导致高机密性和完整性风险。

技术细节

该漏洞源于openvpn-auth-oauth2在实验性插件模式下对OpenVPN返回码机制的处理逻辑错误。当插件作为共享库被OpenVPN加载（plugin指令）时，如果客户端不支持WebAuth/SSO（例如Linux下的OpenVPN CLI），认证逻辑会判定拒绝访问。然而，由于插件未能正确向OpenVPN传递拒绝的返回码，导致OpenVPN主进程误认为认证成功，进而允许客户端建立VPN连接。默认的管理接口模式不使用此返回码机制，因此不受影响。攻击者可通过使用不支持SSO的客户端直接发起连接请求，绕过OIDC认证流程，从而非法访问企业内网资源。

攻击链分析

STEP 1

步骤1：信息收集

攻击者识别目标VPN服务器是否使用了openvpn-auth-oauth2插件，并确认其运行在实验性插件模式。

STEP 2

步骤2：发起攻击

攻击者使用不支持WebAuth/SSO的标准OpenVPN客户端（如Linux CLI）向服务器发起连接请求。

STEP 3

步骤3：绕过认证

由于漏洞存在，插件虽然拒绝了认证，但返回了错误的代码给OpenVPN主进程，导致连接被错误地允许建立。

STEP 4

步骤4：获取权限

攻击者成功接入VPN网络，获得内网资源访问权限，造成机密性和完整性影响。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC Concept: Connect using standard OpenVPN client without WebAuth/SSO support
# The server running vulnerable version in experimental plugin mode will allow access.
openvpn --config <client_config_file>
# If vulnerable, connection is established without passing OIDC auth.

影响范围

openvpn-auth-oauth2 1.26.3

openvpn-auth-oauth2 1.27.0

openvpn-auth-oauth2 1.27.1

openvpn-auth-oauth2 1.27.2

防御指南

临时缓解措施

建议立即检查openvpn-auth-oauth2的部署模式。如果处于实验性插件模式，应暂时回退至默认管理接口模式，或限制仅支持WebAuth的客户端访问，直至完成补丁更新。