Kkalev

**Name of the Vulnerable Software and Affected Versions** openvpn-auth-oauth2 versões 1.26.3 até 1.27.2 **Description** Existe uma falha de bypass de autenticação quando o software é implantado no modo de plugin experimental. Clientes que não suportam WebAuth/SSO recebem incorretamente acesso total à rede sem completar a autenticação OIDC. Isso ocorre porque a função `handleAuthUserPassVerify` em `lib/openvpn-auth-oauth2/openvpn/handle.go` retorna `OPENVPN PLUGIN FUNC SUCCESS` mesmo quando um cliente é negado. O OpenVPN interpreta este código de retorno como autenticação bem-sucedida, ignorando o comando de negação escrito no `auth control file`, a menos que o plugin retorne `FUNC DEFERRED`. **Recommendations** Atualize o openvpn-auth-oauth2 para a versão 1.27.3. Alterne para o modo de cliente de gerenciamento independente. Restrinja o acesso à VPN no nível da rede apenas para clientes que comprovadamente suportam WebAuth/SSO.