Ivanti Connect Secure és Ivanti Policy Secure Gateways sérülékenysége
Angol cím: Ivanti Connect Secure and Ivanti Policy Secure Gateways vulnerability
Publikálás dátuma: 2024.01.10.
Utolsó módosítás dátuma: 2024.01.11.
Leírás
Hitelesítési hiányosságok: Adott identitás igénylés esetén, a program nem vagy nem megfelelően igazolja vissza az igény valódiságát.
Leírás forrása: CWE-287Elemzés leírás
Vulnerabilities have been discovered in Ivanti Connect Secure (ICS), formerly known as Pulse Connect Secure and Ivanti Policy Secure gateways. These vulnerabilities impact all supported versions – Version 9.x and 22.x (refer to Granular Software Release EOL Timelines and Support Matrix for supported versions).
Refer to KB43892 – What releases will Pulse Secure apply fixes to resolve security vulnerabilities for our End of Engineering (EOE) and End of Life (EOL) policies.
If CVE-2024-21887 is used in conjunction with CVE-2023-46805, exploitation does not require authentication and enables a threat actor to craft malicious requests and execute arbitrary commands on the system.
Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 8.2 (Magas)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Impact Score: 4.2
Exploitability Score: 3.9
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): High
Integrity Impact (I): Low
Availability Impact (A): None
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
Ivanti Connect Secure és Ivanti Policy Secure Gateways 9.x-22.x verziók
