Ivanti Connect Secure és Ivanti Policy Secure Gateways sérülékenysége
Angol cím: Ivanti Connect Secure and Ivanti Policy Secure Gateways vulnerability
Publikálás dátuma: 2024.01.10.
Utolsó módosítás dátuma: 2024.01.11.
Leírás
Hitelesítési hiányosságok: Adott identitás igénylés esetén, a program nem vagy nem megfelelően igazolja vissza az igény valódiságát.
Leírás forrása: CWE-287Elemzés leírás
Vulnerabilities have been discovered in Ivanti Connect Secure (ICS), formerly known as Pulse Connect Secure and Ivanti Policy Secure gateways. These vulnerabilities impact all supported versions – Version 9.x and 22.x (refer to Granular Software Release EOL Timelines and Support Matrix for supported versions).
Refer to KB43892 – What releases will Pulse Secure apply fixes to resolve security vulnerabilities for our End of Engineering (EOE) and End of Life (EOL) policies.
If CVE-2024-21887 is used in conjunction with CVE-2023-46805, exploitation does not require authentication and enables a threat actor to craft malicious requests and execute arbitrary commands on the system.
Hatás
CVSS3.1 Súlyosság és Metrika
Alap pontszám: 8.2 (Magas)
Vektor: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Hatás pontszáma: 4.2
Kihasználhatóság pontszáma: 3.9
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Nincs
Felhasználói Interakció (UI): Nincs
Hatókör (S): Nem változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Alacsony
Rendelkezésre állás Hatása (A): Nincs
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
Ivanti Connect Secure és Ivanti Policy Secure Gateways 9.x-22.x verziók