Bulletin ID : AWS-2025-020 Portée : AWS Type de contenu : Important (nécessite une attention particulière) Date de publication : 07/10/2025 13:30 PDTDescription :AWS Client VPN est un service VPN géré basé sur un client qui permet un accès sécurisé aux ressources AWS et sur site. Le logiciel client AWS Client VPN s'exécute sur les appareils des utilisateurs finaux, prenant en charge Windows, macOS et Linux, et permet aux utilisateurs finaux d'établir un tunnel sécurisé vers le service AWS Client VPN.Nous avons identifié CVE-2025-11462, un problème dans AWS Client VPN. La version macOS du client VPN AWS manquait de contrôles de validation appropriés sur le répertoire de destination des journaux lors de la rotation des journaux. Cela a permis à un utilisateur non administrateur de créer un lien symbolique à partir d'un fichier journal du client vers un emplacement privilégié (par exemple, Crontab). Le déclenchement d'une API interne avec des entrées arbitraires écrirait alors ces entrées à l'emplacement privilégié lors de la rotation des journaux, permettant une exécution avec des privilèges root. Ce problème n'affecte pas les appareils Windows ou Linux.Versions affectées :Versions du client AWS Client VPN 1.3.2 à 5.2.0