Een recente beveiligingskwestie is ontdekt in VTun-ng, waarbij coderingmodules niet correct geïnitialiseerd worden in versies 3.0.17 en lager. Dit probleem kan ertoe leiden dat uw communicatie terugvalt naar platte tekst, waardoor gevoelige netwerkgegevens blootgesteld worden. Dit is te wijten aan onvoldoende foutafhandeling, welke als eerste werd geïntroduceerd in versie 3.0.12. De kwetsbaarheid is verholpen in versie 3.0.18 van VTun-ng.
Een aanvaller kan zonder dat u het weet toegang tot gevoelige gegevens krijgen.
Overzicht
VTun-ng is een virtuele tunnel over een TCP/IP-netwerk. Bij het falen van de initialisatie van coderingmodules wordt data niet goed beveiligd, wat leidt tot een ernstige vertrouwelijkheidsimpact. De CWSS-score voor deze kwetsbaarheid is 8.7, wat ‘hoog’ is.
Kwetsbare versies: >= 3.0.12, < 3.0.18
Aanbevelingen
- Update onmiddellijk naar VTun-ng versie 3.0.18 of hoger.
- Vermijd het gebruik van blowfish-256 als tijdelijke oplossing.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-54870?
Dit is een kwetsbaarheid in VTun-ng waardoor niet goed geïnitialiseerde coderingmodules kunnen resulteren in platte tekstoverdracht.
Welke systemen zijn kwetsbaar voor CVE-2025-54870?
Systemen met VTun-ng versie 3.0.12 tot en met 3.0.17.
Bestaat er al een patch of beveiligingsupdate?
Ja, het probleem is verholpen in versie 3.0.18 van VTun-ng.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan gevoelige gegevens onderscheppen die normaal versleuteld zouden moeten zijn.
