NVD Vulnerability Detail

CVE-2021-27406

Summary	An attacker can take leverage on PerFact OpenVPN-Client versions 1.4.1.0 and prior to send the config command from any application running on the local host machine to force the back-end server into initializing a new open-VPN instance with arbitrary open-VPN configuration. This could result in the attacker achieving execution with privileges of a SYSTEM user.
Publication Date	Oct. 15, 2022, 2:15 a.m.
Registration Date	Oct. 15, 2022, 10 a.m.
Last Update	Nov. 21, 2024, 2:57 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:perfact:openvpn-client::::::::			1.4.1.0

Related information, measures and tools

No	URL	refsource	タグ
1	https://www.cisa.gov/uscert/ics/advisories/icsa-21-056-01		Third Party Advisory US Government Resource
2	https://www.cisa.gov/uscert/ics/advisories/icsa-21-056-01		Third Party Advisory US Government Resource

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-610	別領域リソースに対する外部からの制御可能な参照	https://cwe.mitre.org/data/definitions/610.html

JVN Vulnerability Information

PerFact Innovation 製 OpenVPN-Client にシステム構成または設定を外部からコントロール可能な脆弱性

Title	PerFact Innovation 製 OpenVPN-Client にシステム構成または設定を外部からコントロール可能な脆弱性
Summary	PerFact Innovation 製 OpenVPN-Client には、システム構成または設定を外部からコントロール可能な脆弱性が存在します。 PerFact Innovation 製 OpenVPN-Client には、ローカルの端末上で実行されている任意のアプリケーションからバックエンドサーバに対して、新しいインスタンスを強制的に作成することが可能な脆弱性 (CWE-15) が存在します。
Possible impacts	遠隔の第三者により、細工した Web ページを用いることで、権限昇格やシステムユーザの権限でコードが実行される可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版にアップデートしてください。開発者は、本脆弱性の対策として次のバージョンをリリースしています。　* OpenVPN-Client バージョン 1.6.0
Publication Date	Feb. 26, 2021, midnight
Registration Date	March 1, 2021, 5:22 p.m.
Last Update	June 12, 2024, 3:38 p.m.

Affected System

PerFact Innovation GmbH & Co. KG

OpenVPN-Client バージョン 1.4.1.0 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-27406	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-27406
National Vulnerability Database (NVD)
2	CVE-2021-27406	https://nvd.nist.gov/vuln/detail/CVE-2021-27406

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-15	https://cwe.mitre.org/data/definitions/15.html

ベンダー情報

No	Name	URL
PerFact Innovation
1	Software solutions	https://perfact.de/en/services/

その他

No	Name	URL
ICS-CERT ADVISORY
1	ICSA-21-056-01	https://us-cert.cisa.gov/ics/advisories/icsa-21-056-01
JVN
2	JVNVU#95262933	http://jvn.jp/cert/JVNVU95262933

Change Log

No	Changed Details	Date of change
1	[2021年03月01日] 掲載	March 1, 2021, 5:22 p.m.
2	[2024年06月12日] 参考情報：National Vulnerability Database (NVD) (CVE-2021-27406) を追加	June 12, 2024, 2:02 p.m.