Ivanti Connect Secure sérülékenysége
Angol cím: Ivanti Connect Secure vulnerability
Publikálás dátuma: 2024.01.11.
Utolsó módosítás dátuma: 2024.01.11.
Leírás
A program a parancs egészét vagy annak egy részét a bemenetről építi fel, de nem semlegesíti vagy nem megfelelően szűri azokat a speciális elemeket amelyek módosíthatják a tervezett parancsot, amikor az a következő komponensnek kerül átküldésre.
Leírás utolsó módosítása: 2024.01.11.Elemzés leírás
Eredeti nyelven: A command injection vulnerability in web components of Ivanti Connect Secure (9.x, 22.x) and Ivanti Policy Secure allows an authenticated administrator to send specially crafted requests and execute arbitrary commands on the appliance.
Elemzés leírás forrása: CWE-77 Elemzés leírás utolsó módosítása: 2024.01.11.Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 9.1 (Kritikus)
Vector: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Impact Score: 6.0
Exploitability Score: 2.3
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): High
User Interaction (UI): None
Scope (S): Changed
Confidentiality Impact (C): High
Integrity Impact (I): High
Availability Impact (A): High
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
Ivanti Connect Secure (9.x, 22.x)
Ivanti Connect Secure és Ivanti Policy