| Vulnerability Name: | CVE-2022-0547 (CCN-222201) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Assigned: | 2022-02-08 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Published: | 2022-02-08 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Updated: | 2022-09-09 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Summary: | OpenVPN 2.1 until v2.4.12 and v2.5.6 may enable authentication bypass in external authentication plug-ins when more than one of them makes use of deferred authentication replies, which allows an external user to be granted access with only partially correct credentials. | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v3 Severity: | 9.8 Critical (CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) 8.5 High (Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C)
6.5 Medium (CCN Temporal CVSS v3.1 Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N/E:U/RL:O/RC:C)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| CVSS v2 Severity: | 7.5 High (CVSS v2 Vector: AV:N/AC:L/Au:N/C:P/I:P/A:P)
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Type: | CWE-287 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerability Consequences: | Bypass Security | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| References: | Source: MITRE Type: CNA CVE-2022-0547 Source: CCN Type: OpenVPN Web site CVE-2022-0547: Potential authentication by-pass with multiple deferred authentication plug-ins Source: MISC Type: Vendor Advisory https://community.openvpn.net/openvpn/wiki/CVE-2022-0547 Source: MISC Type: Vendor Advisory https://community.openvpn.net/openvpn/wiki/SecurityAnnouncements Source: XF Type: UNKNOWN openvpn-cve20220547-sec-bypass(222201) Source: MLIST Type: Mailing List, Third Party Advisory [debian-lts-announce] 20220503 [SECURITY] [DLA 2992-1] openvpn security update Source: FEDORA Type: Mailing List, Patch, Release Notes, Third Party Advisory FEDORA-2022-cb4c1146dc Source: FEDORA Type: Mailing List, Patch, Release Notes, Third Party Advisory FEDORA-2022-7d46acce7c Source: MISC Type: Patch, Vendor Advisory https://openvpn.net/community-downloads/ Source: CCN Type: IBM Security Bulletin 6592807 (MaaS360) IBM MaaS360 Cloud Extender Agent, Mobile Enterprise Gateway and VPN module have multiple vulnerabilities (CVE-2021-22060, CVE-2022-22950, CVE-2022-0547, CVE-2022-0778, CVE-2022-22965) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Vulnerable Configuration: | Configuration 1: Configuration 2: Configuration 3:  Denotes that component is vulnerable | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Oval Definitions | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| BACK | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||