Koraao

**Nome do software vulnerável e versões afetadas** Versões do GlobalProtect-openconnect anteriores à 1.4.3 **Descrição** O problema diz respeito a um controle de acesso incorreto no GPService por meio do DBUS, na aplicação GUI. Isso permite que usuários arbitrários executem comandos como root enviando o parâmetro `--script=<script>`. Não há informações disponíveis sobre o número estimado de dispositivos potencialmente afetados em todo o mundo ou sobre incidentes reais em que essa vulnerabilidade tenha sido explorada. **Recomendações** Para versões do GlobalProtect-openconnect anteriores à 1.4.3, atualize para a versão 1.4.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao parâmetro `--script=<script>` para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do GlobalProtect-openconnect anteriores à 2.0.0 **Descrição** O problema está relacionado a um controle de acesso incorreto no GPService por meio do DBUS e da GUI. Isso permite que usuários arbitrários iniciem uma conexão VPN com servidores arbitrários. Um invasor pode hospedar um servidor compatível com o openconnect e redirecionar todo o tráfego do host através do seu próprio servidor. **Recomendações** Para versões anteriores à 2.0.0, atualize para a versão 2.0.0 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao GPService para minimizar o risco de exploração. Evite usar a GUI para iniciar conexões VPN até que o problema seja resolvido.