CVE-2024-21887

Опубликовано: 12 янв. 2024

Источник: nvd

CVSS3: 9.1

EPSS Критический

Описание

A command injection vulnerability in web components of Ivanti Connect Secure (9.x, 22.x) and Ivanti Policy Secure (9.x, 22.x) allows an authenticated administrator to send specially crafted requests and execute arbitrary commands on the appliance.

Ссылки

http://packetstormsecurity.com/files/176668/Ivanti-Connect-Secure-Unauthenticated-Remote-Code-Execution.html
Exploit
Third Party Advisory
VDB Entry
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
Vendor Advisory
http://packetstormsecurity.com/files/176668/Ivanti-Connect-Secure-Unauthenticated-Remote-Code-Execution.html
Exploit
Third Party Advisory
VDB Entry
https://forums.ivanti.com/s/article/CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
Vendor Advisory
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-21887
US Government Resource

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:ivanti:connect_secure:9.0:*:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r1:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r10:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r11:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r11.3:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r11.4:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r11.5:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r12:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r12.1:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r13:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r13.1:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r14:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r15:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r15.2:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r16:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r16.1:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r17:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r17.1:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r18:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r2:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r3:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r4:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r4.1:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r4.2:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r4.3:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r5:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r6:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r7:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r8:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r8.1:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r8.2:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r9:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:9.1:r9.1:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:22.1:r1:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:22.1:r6:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:22.2:-:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:22.2:r1:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:22.3:r1:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:22.4:r1:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:22.4:r2.1:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:22.5:r2.1:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:22.6:-:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:22.6:r1:*:*:*:*:*:*

cpe:2.3:a:ivanti:connect_secure:22.6:r2:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.0:*:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r1:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r10:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r11:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r12:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r13:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r13.1:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r14:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r15:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r16:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r17:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r18:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r2:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r3:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r3.1:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r4:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r4.1:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r4.2:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r5:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r6:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r7:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r8:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r8.1:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r8.2:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:9.1:r9:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:22.1:r1:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:22.1:r6:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:22.2:r1:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:22.2:r3:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:22.3:r1:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:22.3:r3:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:22.4:r1:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:22.4:r2:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:22.4:r2.1:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:22.5:r1:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:22.5:r2.1:*:*:*:*:*:*

cpe:2.3:a:ivanti:policy_secure:22.6:r1:*:*:*:*:*:*

EPSS

Процентиль: 100%

0.94412

Критический

9.1 Critical

CVSS3

9.1 Critical

CVSS3

Дефекты

CWE-77

Связанные уязвимости

GHSA-87qj-c5f7-6c8q

CVSS3: 9.1

github

около 2 лет назад

BDU:2024-00320

CVSS3: 8.2

fstec

около 2 лет назад

Уязвимость веб-компонента средств контроля сетевого доступа Ivanti Connect Secure и Ivanti Policy Secure, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

BDU:2024-00249

CVSS3: 9.1

fstec

около 2 лет назад

Уязвимость веб-интерфейсов средств контроля сетевого доступа Ivanti Connect Secure и Ivanti Policy Secure, позволяющая нарушителю выполнять произвольные команды

BDU:2024-01287

CVSS3: 8.3

fstec

около 2 лет назад

Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure), Ivanti Policy Secure и средства управления аутентификацией и контролем доступа Ivanti Neurons for Zero Trust Access (nZTA), связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 100%

0.94412

Критический

9.1 Critical

CVSS3

9.1 Critical

CVSS3

Дефекты

CWE-77