Идентификатор бюллетеня: AWS-2025-020 Область действия: AWS Тип контента: Важное (требует внимания) Дата публикации: 07.10.2025 13:30 PDTОписание:AWS Client VPN — это управляемый клиентский VPN-сервис, который обеспечивает безопасный доступ к ресурсам AWS и локальным ресурсам. Клиентское программное обеспечение AWS Client VPN работает на конечных устройствах пользователей, поддерживая Windows, macOS и Linux, и предоставляет конечным пользователям возможность установить безопасный туннель к сервису AWS Client VPN.Мы выявили CVE-2025-11462, проблему в AWS Client VPN. В версии AWS VPN Client для macOS отсутствовали надлежащие проверки при назначении каталога для журналов во время ротации журналов. Это позволило пользователю без прав администратора создать символическую ссылку из файла журнала клиента на привилегированное расположение (например, Crontab). При вызове внутреннего API с произвольными входными данными эти данные записывались бы в привилегированное расположение при ротации журналов, что позволяло бы выполнять команды с правами root. Эта проблема не затрагивает устройства под управлением Windows или Linux.Затронутые версии:Версии клиента AWS Client VPN с 1.3.2 по 5.2.0