7.5высокая
BDU:2024-01287 (CVE-2024-22024)
Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure), Ivanti Policy Secure и средства управления аутентификацией и контролем доступа Ivanti Neurons for Zero Trust Access (nZTA), связанная с неверным ограничением XML-ссылок на внешние объекты, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2024-02-14
Описание
Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure) и Ivanti Policy Secure и средства управления аутентификацией и контролем доступа Ivanti Neurons for Zero Trust Access (nZTA) связана с неверным ограничением XML-ссылок на внешние объекты. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации
Затрагиваемое ПО и версии
Connect Secure (9.1R14.4)Connect Secure (9.1R17.2)Connect Secure (9.1R18.3)Connect Secure (22.4R2.2)Connect Secure (22.5R1.1)Policy Secure (22.5R1.1)Ivanti Neurons for Zero Trust Access (nZTA) (22.6R1.3)
Способ устранения
Использование рекомендаций:
https://forums.ivanti.com/s/article/CVE-2024-22024-XXE-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US
Оценка CVSS
| Балл | 7.5 — высокая опасность |
Источники и патчи