Consult的安全研究員發現OpenVPN的桌面客戶端存在CSRF 漏洞 。成功利用該漏洞，可以實現遠程命令執行。openvpn已經發布公告 ，建議受影響的客戶端版本立刻升級到最新版。 

受影響版本：

windows版本的OpenVPN Access Server "Desktop Client" app。版本號為1.5.6(漏洞發現時的最新版)及以前的版本。OpenVPN Connect，Private Tunnel和community builds 不受影響。

漏洞概要：

OpenVPN Access Server "Desktop Client"包括兩個部分，一個windows服務，通過本地的webserver提供XML-RPC的api。一個GUI的組件來連接這些API。這些XML-RPC的API存在csrf的漏洞。利用這些api可以實現以下幾種攻擊：

1，暴露受害者的真實信息。(比如，可以斷開一個已經連接的VPN鏈接)

2，實施中間人攻擊。(可以讓受害者連接到一個攻擊者控制的VPN服務器)

3，以SYSTEM權限執行任意命令。(通過添加一個VPN profile實現)