B
今週中
OpenVPN向けSSO連携ツール「openvpn-auth-oauth2」に、認証を回避してVPN接続が可能になる深刻な脆弱性
📌 一言でいうと
OpenVPN向けSSO連携ツール「openvpn-auth-oauth2」に、認証を回避してVPN接続が可能になる深刻な脆弱性が発見されました。プラグインモードでの運用時に、非対応クライアントからの接続に対して誤って成功コードを返すことが原因です。CVSSv3.1のスコアは最高値の10.0(クリティカル)となっており、バージョン1.27.3へのアップデートが推奨されています。
🏢影響範囲
openvpn-auth-oauth2をプラグインモードで利用している組織およびVPN管理者
✅該当時の対応
最新バージョン(1.27.3以降)へアップデートすること。または、プラグインモードではなく「スタンドアロン管理クライアントモード」を利用して影響を回避すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【脆弱性対応】OpenVPN向けSSO連携ツール「openvpn-auth-oauth2」の認証回避の脆弱性について
お疲れさまです。標記の脆弱性に関する情報共有です。
■ 概要
OpenVPNでIdPを用いたSSO認証を実現する管理ツール「openvpn-auth-oauth2」に、認証を回避してVPN接続が可能になる深刻な脆弱性(CVE-2026-41070)が発見されました。プラグインモード運用時に、非対応クライアントからの接続に対して誤って成功コードを返すことが原因です。CVSSv3.1のベーススコアは最高値の「10.0(Critical)」となっています。
■ 影響範囲
- 対象製品: openvpn-auth-oauth2
- 条件: 「プラグインモード」で運用している環境
■ 対応手順
1. 最新バージョン(1.27.3以降)へアップデートを適用してください。
2. または、運用モードを「プラグインモード」から「スタンドアロン管理クライアントモード」へ変更することで影響を回避してください。
■ 参考情報
- GitHub: jkroepke/openvpn-auth-oauth2
- Security NEXT 記事
対応優先度: 高(至急の対応を推奨します)
お疲れさまです。標記の脆弱性に関する情報共有です。
■ 概要
OpenVPNでIdPを用いたSSO認証を実現する管理ツール「openvpn-auth-oauth2」に、認証を回避してVPN接続が可能になる深刻な脆弱性(CVE-2026-41070)が発見されました。プラグインモード運用時に、非対応クライアントからの接続に対して誤って成功コードを返すことが原因です。CVSSv3.1のベーススコアは最高値の「10.0(Critical)」となっています。
■ 影響範囲
- 対象製品: openvpn-auth-oauth2
- 条件: 「プラグインモード」で運用している環境
■ 対応手順
1. 最新バージョン(1.27.3以降)へアップデートを適用してください。
2. または、運用モードを「プラグインモード」から「スタンドアロン管理クライアントモード」へ変更することで影響を回避してください。
■ 参考情報
- GitHub: jkroepke/openvpn-auth-oauth2
- Security NEXT 記事
対応優先度: 高(至急の対応を推奨します)
Subject: [Action Required] Authentication Bypass Vulnerability in openvpn-auth-oauth2
Hi all,
This is a security advisory regarding a critical vulnerability found in the SSO integration tool for OpenVPN.
■ Overview
A critical authentication bypass vulnerability (CVE-2026-41070) has been identified in "openvpn-auth-oauth2". When operated in "plugin mode," the tool may incorrectly return a success code to OpenVPN for connections from clients that do not support WebAuth/SSO, allowing unauthorized VPN access. The CVSSv3.1 base score is 10.0 (Critical).
■ Scope
- Product: openvpn-auth-oauth2
- Condition: Environments running in "plugin mode"
■ Remediation
1. Update to the latest version (1.27.3 or later) released on April 7, 2026.
2. Alternatively, switch from "plugin mode" to "standalone management client mode" to mitigate the risk.
■ Reference
- GitHub: jkroepke/openvpn-auth-oauth2
Priority: High (Prompt remediation is strongly recommended)
Hi all,
This is a security advisory regarding a critical vulnerability found in the SSO integration tool for OpenVPN.
■ Overview
A critical authentication bypass vulnerability (CVE-2026-41070) has been identified in "openvpn-auth-oauth2". When operated in "plugin mode," the tool may incorrectly return a success code to OpenVPN for connections from clients that do not support WebAuth/SSO, allowing unauthorized VPN access. The CVSSv3.1 base score is 10.0 (Critical).
■ Scope
- Product: openvpn-auth-oauth2
- Condition: Environments running in "plugin mode"
■ Remediation
1. Update to the latest version (1.27.3 or later) released on April 7, 2026.
2. Alternatively, switch from "plugin mode" to "standalone management client mode" to mitigate the risk.
■ Reference
- GitHub: jkroepke/openvpn-auth-oauth2
Priority: High (Prompt remediation is strongly recommended)