W SoftEther VPN w wersji 5.02.5187 zgłoszono podatność typu use-after-free w pliku Command.c, w funkcji CheckNetworkAcceptThread. Producent kwestionuje jednak klasyfikację, wskazując, że błąd dotyczy oddzielnego narzędzia testowego, a nie głównego oprogramowania VPN.
▸ Pokaż oryginał (EN)
SoftEtherVPN 5.02.5187 is vulnerable to Use after Free in the Command.c file via the CheckNetworkAcceptThread function. NOTE: the Supplier disputes this because the use-after-free is not in the VPN software, but is instead in a separate tool that has no untrusted input and runs under the user's own privileges (it is a stress-testing tool for a networking stack).
Podatność sklasyfikowana jako CWE-416 (use-after-free) polega na nieprawidłowym dostępie do obszaru pamięci już zwolnionej przez proces, co może prowadzić do korupcji danych lub wykonania arbitralnego kodu. Zgłoszony błąd zlokalizowany jest w funkcji CheckNetworkAcceptThread w pliku Command.c. Producent (SoftEther) stoi jednak na stanowisku, że podatność nie występuje w samym oprogramowaniu VPN, lecz w osobnym narzędziu służącym do testowania obciążenia stosu sieciowego, które nie przetwarza niezaufanych danych wejściowych i działa wyłącznie z uprawnieniami użytkownika uruchamiającego.
Jeśli podatność jest rzeczywiście eksploitowalna, atakujący mógłby potencjalnie uzyskać pełną kontrolę nad podatnym systemem poprzez wykonanie dowolnego kodu (RCE) lub eskalację uprawnień. Ze względu na spór producenta co do zakresu podatności, rzeczywisty wpływ na środowiska produkcyjne VPN pozostaje niepotwierdzony.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Ze względu na spór producenta co do zakresu podatności, zaleca się śledzenie oficjalnych komunikatów SoftEther oraz dokumentu CVE-2025-25568.pdf opublikowanego przez producenta. Do czasu wyjaśnienia sporu warto ograniczyć dostęp do komponentów narzędziowych i monitorować środowiska produkcyjne.
SoftEther VPN w wersji 5.02.5187; według producenta błąd dotyczy jedynie oddzielnego narzędzia testowego, nie głównego komponentu VPN
Producent SoftEther oficjalnie kwestionuje (disputes) tę podatność, wskazując, że use-after-free dotyczy wyłącznie osobnego narzędzia do testowania obciążenia sieci (stress-testing tool), a nie samego oprogramowania VPN. Narzędzie to nie przetwarza niezaufanych danych i działa z uprawnieniami lokalnego użytkownika. Mimo to CVSS przyznał ocenę 9.8 (CRITICAL). Administratorzy powinni zweryfikować oficjalne stanowisko producenta przed wdrożeniem środków zaradczych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSoftether Vpn
APPSoftether5.02.5187
Powiązane podatności
Buffer Overflow w SoftEther VPN – funkcje PtMakeCert i PtMakeCert2048
Buffer overflow w SoftEther VPN – funkcja UniToStrForSingleChars
A heap-based buffer overflow vulnerability exists in the vpnserver WpcParsePacket() functionality of SoftEther...
A denial-of-service vulnerability exists in the vpnserver EnSafeHttpHeaderValueStr functionality of SoftEther ...
A denial-of-service vulnerability exists in the vpnserver ConnectionAccept() functionality of SoftEther VPN 5....