关键漏洞信息 漏洞概述 CVE: CVE-2022-25165 影响产品: - 厂商: Amazon Web Service (AWS) - 产品: AWS VPN Client (Windows) - 确认漏洞版本: 2.0.0 - 修复版本: 3.0.0 漏洞详情 CVE-2022-25166: 任意文件写入 SYSTEM 检测OpenVPN配置文件时存在竞争条件,使得外部注入OpenVPN指令。 危险参数允许低权限用户指定日志文件路径。 CVE-2022-25165: 通过UNC路径的信息泄露 通过在OpenVPN配置文件中包含UNC路径,访问用户Net-NTLMv2哈希值。 可能被利用于导入恶意VPN配置文件。 受影响的产品 AWS VPN Client 技术细节 使用PowerShell脚本监控日志文件并在配置文件验证成功后立即写入恶意指令。 可能重定向日志输出到任意路径或文件,导致特权文件写入。 上报时间和公开