Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-02602

Опубликовано: 02 апр. 2024
Источник: fstec
CVSS3: 8.6
CVSS2: 9
EPSS Средний

Описание

Уязвимость компонента IPSec средств контроля сетевого доступа Ivanti Connect Secure и Ivanti Policy Secure связана с возможностью переполнения буфера в куче. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании или выполнить произвольный код путём отправки специально сформированных запросов

Вендор

Ivanti

Наименование ПО

Connect Secure
Policy Secure

Версия ПО

до 22.1R6.2 (Connect Secure)
до 22.2R4.2 (Connect Secure)
до 22.3R1.2 (Connect Secure)
до 22.4R1.2 (Connect Secure)
до 22.4R2.4 (Connect Secure)
до 22.5R1.3 (Connect Secure)
до 22.5R2.4 (Connect Secure)
до 22.6R2.3 (Connect Secure)
до 9.1R14.6 (Connect Secure)
до 9.1R15.4 (Connect Secure)
до 9.1R16.4 (Connect Secure)
до 9.1R17.4 (Connect Secure)
до 9.1R18.5 (Connect Secure)
до 22.4R1.2 (Policy Secure)
до 22.5R1.3 (Policy Secure)
до 22.6R1.2 (Policy Secure)
до 9.1R16.4 (Policy Secure)
до 9.1R17.4 (Policy Secure)
до 9.1R18.5 (Policy Secure)

Тип ПО

Сетевое средство
Программное средство защиты

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,6)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение доступа из общедоступных сетей (Интернет);
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций производителя:
https://forums.ivanti.com/s/article/SA-CVE-2024-21894-Heap-Overflow-CVE-2024-22052-Null-Pointer-Dereference-CVE-2024-22053-Heap-Overflow-and-CVE-2024-22023-XML-entity-expansion-or-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 93%
0.11025
Средний

8.6 High

CVSS3

9 Critical

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-21894

CVSS3: 9.8
nvd
почти 2 года назад

A heap overflow vulnerability in IPSec component of Ivanti Connect Secure (9.x, 22.x) and Ivanti Policy Secure allows an unauthenticated malicious user to send specially crafted requests in-order-to crash the service thereby causing a DoS attack. In certain conditions this may lead to execution of arbitrary code

github логотип

GHSA-3mvj-7p7p-x4x5

CVSS3: 8.2
github
почти 2 года назад

A heap overflow vulnerability in IPSec component of Ivanti Connect Secure (9.x, 22.x) and Ivanti Policy Secure allows an unauthenticated malicious user to send specially crafted requests in-order-to crash the service thereby causing a DoS attack. In certain conditions this may lead to execution of arbitrary code

fstec логотип

BDU:2024-03098

CVSS3: 7.5
fstec
почти 2 года назад

Уязвимость компонента IPSec средств контроля сетевого доступа Ivanti Connect Secure и Ivanti Policy Secure, позволяющая нарушителю вызвать отказ в обслуживании

fstec логотип

BDU:2024-03097

CVSS3: 8.2
fstec
почти 2 года назад

Уязвимость компонента IPSec средств контроля сетевого доступа Ivanti Connect Secure и Ivanti Policy Secure, позволяющая нарушителю вызвать отказ в обслуживании

fstec логотип

BDU:2024-03096

CVSS3: 5.3
fstec
почти 2 года назад

Уязвимость компонента SAML средств контроля сетевого доступа Ivanti Connect Secure и Ivanti Policy Secure, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 93%
0.11025
Средний

8.6 High

CVSS3

9 Critical

CVSS2