CVE-2023-46805

2024. január 11. 10:06

Ivanti Connect Secure és Ivanti Policy Secure Gateways sérülékenysége
Angol cím: Ivanti Connect Secure and Ivanti Policy Secure Gateways vulnerability

Publikálás dátuma: 2024.01.10.
Utolsó módosítás dátuma: 2024.01.11.

A sérülékenység aktívan kihasználtként volt megjelölve az alábbi dátumtartományra vonatkozóan: 2024.01.10. – 2024.01.31.

Leírás

Hitelesítési hiányosságok: Adott identitás igénylés esetén, a program nem vagy nem megfelelően igazolja vissza az igény valódiságát.

Leírás forrása: CWE-287

Elemzés leírás

Vulnerabilities have been discovered in Ivanti Connect Secure (ICS), formerly known as Pulse Connect Secure and Ivanti Policy Secure gateways. These vulnerabilities impact all supported versions – Version 9.x and 22.x (refer to Granular Software Release EOL Timelines and Support Matrix for supported versions).
Refer to KB43892 – What releases will Pulse Secure apply fixes to resolve security vulnerabilities for our End of Engineering (EOE) and End of Life (EOL) policies.
If CVE-2024-21887 is used in conjunction with CVE-2023-46805, exploitation does not require authentication and enables a threat actor to craft malicious requests and execute arbitrary commands on the system.

Elemzés leírás forrása: forums.ivanti.com Elemzés leírás utolsó módosítása: 2024.01.10.

Hatás

CVSS3.1 Súlyosság és Metrika

Base score: 8.2 (Magas)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Impact Score: 4.2
Exploitability Score: 3.9

Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): Low
Availability Impact (A): None