CVE-2025-43711

Nome do Software Vulnerável e Versões Afetadas: Versões do Tunnelblick 3.5beta06 até 6.x Versão 7.0 do Tunnelblick e anteriores

Descrição: O problema está relacionado à biblioteca HTTP Request2 utilizada para processar solicitações HTTP no cliente VPN Tunnelblick. Envolve divulgação de informações por meio dos arquivos de teste tests/ network/getparameters.php e tests/ network/postparameters.php. A exploração deste problema pode permitir que um atacante remoto realize um ataque de cross-site scripting (XSS) e potencialmente eleve privilégios para o nível de root.

Recomendações: Para as versões do Tunnelblick 3.5beta06 até 6.x, desinstale completamente a versão anterior antes de instalar uma versão mais recente para evitar possível exploração. Para a versão 7.0 do Tunnelblick e anteriores, assegure-se de que qualquer desinstalação incompleta não deixe para trás componentes exploráveis e considere atualizar para uma versão na qual este problema seja resolvido. Como medida de contorno temporária, considere restringir o acesso ao diretório tests/ network para minimizar o risco de exploração.