CVE-2026-40215
ŚrednieCVSS 6.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 38 - wyżej niż 38% wszystkich znanych CVE
Streszczenie
W OpenVPN w wersjach od 2.6.0 do 2.6.19 oraz 2.7_alpha1 do 2.7.1 występuje warunkowanie wyścigu, które może pozwolić zdalnym atakującym na spowodowanie awarii serwera lub wycieku pamięci sterty poprzez wykorzystanie błędu use-after-free podczas promowania sesji TLS.
Ocena ryzyka
Organizacja może być narażona na awarie serwera oraz potencjalne wycieki danych, co może prowadzić do utraty poufności i dostępności usług.
Rekomendacja
Zaleca się aktualizację OpenVPN do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie logów serwera w celu wykrycia potencjalnych prób ataku.
Oryginalny opis (angielski, źródło NVD)
A race condition in OpenVPN 2.6.0 through 2.6.19 and 2.7_alpha1 through 2.7.1 allows remote attackers to potentially cause a server crash or leak heap memory via a use-after-free triggered during TLS session promotion.

