Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en OpenVPN 3 Linux (CVE-2025-3908)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-59 Incorrecta resolución de una ruta antes de aceder a un fichero (Seguimiento de enlaces)
Fecha de publicación:
19/05/2025
Última modificación:
12/06/2025

Descripción

La herramienta de inicialización de configuración en OpenVPN 3 Linux v20 a v24 en Linux permite a un atacante local utilizar enlaces simbólicos que apuntan a un directorio arbitrario, lo que cambiará la propiedad y los permisos de ese directorio de destino.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:openvpn:openvpn3linux:*:*:*:*:*:*:*:* 20 (incluyendo) 24 (incluyendo)
cpe:2.3:o:linux:linux_kernel:-:*:*:*:*:*:*:*