Alcance: AWS
Tipo de contenido: importante (requiere atención)
Fecha de publicación: 23/07/2025 8:30 PDT

Descripción:

AWS Client VPN es un servicio de VPN administrado basado en el cliente que permite un acceso seguro a los recursos de AWS y en las instalaciones. El software de cliente AWS Client VPN se ejecuta en dispositivos de usuario final, es compatible con Windows, macOS y Linux, y permite a los usuarios finales establecer un túnel seguro hacia el servicio AWS Client VPN.

Identificamos el CVE-2025-8069, un problema en AWS Client VPN. Durante la instalación de AWS Client VPN en dispositivos Windows, el proceso de instalación hace referencia a la ubicación del directorio C:\usr\local\windows-x86_64-openssl-localbuild\ssl para obtener el archivo de configuración de OpenSSL. Como resultado, un usuario que no sea administrador podría colocar código arbitrario en el archivo de configuración. Si un usuario administrador inicia el proceso de instalación del cliente de AWS Client VPN, ese código podría ejecutarse con privilegios de nivel raíz. Este problema no afecta a los dispositivos Linux o Mac.

Versiones afectadas: 4.1.0, 5.0.0, 5.0.1, 5.0.2, 5.1.0, 5.2.0, 5.2.1

Resolución:

Este problema se solucionó en la versión 5.2.2 de AWS Client VPN Recomendamos a los usuarios que suspendan cualquier instalación nueva de AWS Client VPN en Windows anterior a la versión 5.2.2.

Solución alternativa:

N/D

Referencias:

• CVE-2025-8069

Reconocimiento:

Agradecemos a Zero Day Initiative por colaborar en este asunto a través del proceso coordinado de divulgación de vulnerabilidades.

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.