Uma vulnerabilidade crítica no OpenVPN Connect para macOS pode permitir que invasores locais executem comandos arbitrários com privilégios elevados.
A falha é rastreada como CVE-2026-9560 e afeta versões de 3.5.1 até 3.8.1.
O problema está no componente privilegiado auxiliar do OpenVPN Connect no macOS, um serviço em segundo plano responsável por gerenciar conexões VPN com permissões elevadas no sistema.
A falha foi classificada como injeção de comando no sistema operacional, sob a categoria CWE-78.
A exploração ocorre por meio de um canal local de comunicação entre processos, conhecido como IPC. Na prática, um invasor que já tenha acesso ao Mac pode se comunicar diretamente com o serviço em segundo plano e injetar comandos para execução como root.
O ataque não exige interação do usuário depois que o invasor está presente no sistema.
A vulnerabilidade recebeu pontuação CVSS 4.0 de 9,4, considerada crítica. Embora não seja uma falha explorável remotamente pela internet, ela representa risco importante em cenários de pós-comprometimento e movimentação lateral.
A atualização também corrige falhas relacionadas à autenticação via navegador e a um problema na importação manual de perfis, que podia levar ao carregamento de perfil em branco ou ao travamento do aplicativo.
