Ivanti Connect Secure sérülékenysége
Angol cím: Ivanti Connect Secure vulnerability
Publikálás dátuma: 2024.01.11.
Utolsó módosítás dátuma: 2024.01.11.
Leírás
A program a parancs egészét vagy annak egy részét a bemenetről építi fel, de nem semlegesíti vagy nem megfelelően szűri azokat a speciális elemeket amelyek módosíthatják a tervezett parancsot, amikor az a következő komponensnek kerül átküldésre.
Leírás utolsó módosítása: 2024.01.11.Elemzés leírás
Eredeti nyelven: A command injection vulnerability in web components of Ivanti Connect Secure (9.x, 22.x) and Ivanti Policy Secure allows an authenticated administrator to send specially crafted requests and execute arbitrary commands on the appliance.
Elemzés leírás forrása: CWE-77 Elemzés leírás utolsó módosítása: 2024.01.11.Hatás
CVSS3.1 Súlyosság és Metrika
Alap pontszám: 9.1 (Kritikus)
Vektor: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Hatás pontszáma: 6.0
Kihasználhatóság pontszáma: 2.3
Támadás Vektora (AV): Hálózat
Támadás komplexitása (AC): Alacsony
Jogosultság Szükséges (PR): Magas
Felhasználói Interakció (UI): Nincs
Hatókör (S): Változott
Bizalmasság Hatása (C): Magas
Sértetlenség Hatása (I): Magas
Rendelkezésre állás Hatása (A): Magas
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
Ivanti Connect Secure (9.x, 22.x)
Ivanti Connect Secure és Ivanti Policy