OpenVPN桌面客户端爆CSRF漏洞(可远程执行命令)

受影响版本：

windows版本的openvpn access server "desktop client" app。版本号为1.5.6(漏洞发现时的最新版）及以前的版本。openvpn connect，private tunnel和community builds 不受影响。

漏洞概要：

openvpn access server "desktop client"包括两个部分，一个windows服务，通过本地的webserver提供xml-rpc的api。一个gui的组件来连接这些api。这些xml-rpc的api存在csrf的漏洞。利用这些api可以实现以下几种攻击：

1，暴露受害者的真实信息。（比如，可以断开一个已经连接的vpn链接）
2，实施中间人攻击。（可以让受害者连接到一个攻击者控制的vpn服务器）
3，以system权限执行任意命令。（通过添加一个vpn profile实现）