Ivanti Connect Secure and Policy Secure opravujú 4 zraniteľnosti

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

[TLP:CLEAR] Ivanti Connect Secure and Policy Secure opravujú 4 zraniteľnosti

Ivanti opravuje 4 zraniteľnosti v produktoch Ivanti Connect Secure a Policy Secure. Opravené verzie pre Ivanti Connect Secure sú 22.1R6.2, 22.2R4.2, 22.3R1.2, 22.4R1.2, 22.4R2.4, 22.5R1.3, 22.5R2.4, 22.6R2.3, 9.1R14.6, 9.1R15.4, 9.1R16.4, 9.1R17.4, 9.1R18.5 a pre Policy Secure sú to verzie 22.4R1.2, 22.5R1.3, 22.6R1.2, 9.1R16.4, 9.1R17.4, 9.1R18.5 [1].

Ivanti Connect Secure and Policy Secure - heap overflow (CVE-2024-21894) CVSS 8.2 (High)

Neautetizovanému vzdialenému útočníkovi je umožnené posielať špeciálne vytvorené požiadavky a spôsobiť tak DoS útok a za určitých okolností neoprávnene spúšťať kód [1].

Zraniteľnosť sa nachádza v produktoch:

Ivanti Connect Secure vo verziách (>=2.1R6.0 AND <2.1R6.2) OR (>=22.2R4.0 AND <22.2R4.2) OR (>=22.3R1.0 AND <22.3R1.2) OR (>=22.4R.0 AND <22.4R1.2) OR (>=22.4.R.2.0 AND <22.4R2.4) OR (>=22.5R1.0 AND <22.5R1.3) OR (>=22.5R2.0 AND <22.5R2.4) OR (>=22.6R2.0 AND <22.6R2.3) OR (>=9.1R14.0 AND <9.1R14.6) OR (>=9.1R15.0 AND <9.1R15.4) OR (>=9.1R16.0 AND <9.1R16.4) OR (>=9.1R17.0 AND <9.1R17.4) OR (>=9.1R18.0 AND <9.1R18.5)
Ivanti Policy Secure vo verziách (>=22.4R1.0 AND <22.4R1.2) OR (>=22.5R1.0 AND <22.5R1.3) OR (>=22.6R1.0 AND <22.6R1.2) OR (>=9.1R16.0 AND <9.1R16.4) OR (>=9.1R17.0 AND <9.1R17.4) OR (>=9.1R18.0 AND <9.1R18.5)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H

Viac informácií:

CVE-2024-21894 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-122: Heap-based Buffer Overflow at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 2. 4. 2024.

Ivanti Connect Secure and Policy Secure - null pointer dereference (CVE-2024-22052) CVSS 7.5 (High)

Neautetizovanému vzdialenému útočníkovi je umožnené posielať špeciálne vytvorené požiadavky a spôsobiť tak DoS útok [1].

Zraniteľnosť sa nachádza v produktoch:

Ivanti Connect Secure vo verziách (>=2.1R6.0 AND <2.1R6.2) OR (>=22.2R4.0 AND <22.2R4.2) OR (>=22.3R1.0 AND <22.3R1.2) OR (>=22.4R.0 AND <22.4R1.2) OR (>=22.4.R.2.0 AND <22.4R2.4) OR (>=22.5R1.0 AND <22.5R1.3) OR (>=22.5R2.0 AND <22.5R2.4) OR (>=22.6R2.0 AND <22.6R2.3) OR (>=9.1R14.0 AND <9.1R14.6) OR (>=9.1R15.0 AND <9.1R15.4) OR (>=9.1R16.0 AND <9.1R16.4) OR (>=9.1R17.0 AND <9.1R17.4) OR (>=9.1R18.0 AND <9.1R18.5)
Ivanti Policy Secure vo verziách (>=22.4R1.0 AND <22.4R1.2) OR (>=22.5R1.0 AND <22.5R1.3) OR (>=22.6R1.0 AND <22.6R1.2) OR (>=9.1R16.0 AND <9.1R16.4) OR (>=9.1R17.0 AND <9.1R17.4) OR (>=9.1R18.0 AND <9.1R18.5)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

CVE-2024-22052 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-476: NULL Pointer Dereference at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 2. 4. 2024.

Ivanti Connect Secure and Policy Secure - heap overflow (CVE-2024-22053) CVSS 8.2 (High)

Neautetizovanému vzdialenému útočníkovi je umožnené posielať špeciálne vytvorené požiadavky a spôsobiť tak DoS útok a za určitých okolností neoprávnene čítať dáta z pamäte [1].

Zraniteľnosť sa nachádza v produktoch:

Ivanti Connect Secure vo verziách (>=2.1R6.0 AND <2.1R6.2) OR (>=22.2R4.0 AND <22.2R4.2) OR (>=22.3R1.0 AND <22.3R1.2) OR (>=22.4R.0 AND <22.4R1.2) OR (>=22.4.R.2.0 AND <22.4R2.4) OR (>=22.5R1.0 AND <22.5R1.3) OR (>=22.5R2.0 AND <22.5R2.4) OR (>=22.6R2.0 AND <22.6R2.3) OR (>=9.1R14.0 AND <9.1R14.6) OR (>=9.1R15.0 AND <9.1R15.4) OR (>=9.1R16.0 AND <9.1R16.4) OR (>=9.1R17.0 AND <9.1R17.4) OR (>=9.1R18.0 AND <9.1R18.5)
Ivanti Policy Secure vo verziách (>=22.4R1.0 AND <22.4R1.2) OR (>=22.5R1.0 AND <22.5R1.3) OR (>=22.6R1.0 AND <22.6R1.2) OR (>=9.1R16.0 AND <9.1R16.4) OR (>=9.1R17.0 AND <9.1R17.4) OR (>=9.1R18.0 AND <9.1R18.5)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H

Viac informácií:

CVE-2024-22053 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-122: Heap-based Buffer Overflow at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 2. 4. 2024.

Ivanti Connect Secure and Policy Secure - XXE (CVE-2024-22023) CVSS 5.3 (Medium)

Neautetizovanému vzdialenému útočníkovi je umožnené posielať požiadavky so špeciálne vytvoreným XML súborom a spôsobiť tak DoS útok [2].

Zraniteľnosť sa nachádza v produktoch:

Ivanti Connect Secure vo verziách (>=2.1R6.0 AND <2.1R6.2) OR (>=22.2R4.0 AND <22.2R4.2) OR (>=22.3R1.0 AND <22.3R1.2) OR (>=22.4R.0 AND <22.4R1.2) OR (>=22.4.R.2.0 AND <22.4R2.4) OR (>=22.5R1.0 AND <22.5R1.3) OR (>=22.5R2.0 AND <22.5R2.4) OR (>=22.6R2.0 AND <22.6R2.3) OR (>=9.1R14.0 AND <9.1R14.6) OR (>=9.1R15.0 AND <9.1R15.4) OR (>=9.1R16.0 AND <9.1R16.4) OR (>=9.1R17.0 AND <9.1R17.4) OR (>=9.1R18.0 AND <9.1R18.5)
Ivanti Policy Secure vo verziách (>=22.4R1.0 AND <22.4R1.2) OR (>=22.5R1.0 AND <22.5R1.3) OR (>=22.6R1.0 AND <22.6R1.2) OR (>=9.1R16.0 AND <9.1R16.4) OR (>=9.1R17.0 AND <9.1R17.4) OR (>=9.1R18.0 AND <9.1R18.5)

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Viac informácií:

CVE-2024-22023 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-611: Improper Restriction of XML External Entity Reference at cwe.mitre.org

Zraniteľnosť bola verejne oznámená 2. 4. 2024.

Odkazy

Publikoval Martin Krajči dňa 5. 4. 2024.

Zpětná vazba k reportu

[TLP:CLEAR] Ivanti Connect Secure and Policy Secure opravujú 4 zraniteľnosti

Ivanti Connect Secure and Policy Secure - heap overflow (CVE-2024-21894) CVSS 8.2 (High)

Ivanti Connect Secure and Policy Secure - null pointer dereference (CVE-2024-22052) CVSS 7.5 (High)

Ivanti Connect Secure and Policy Secure - heap overflow (CVE-2024-22053) CVSS 8.2 (High)

Ivanti Connect Secure and Policy Secure - XXE (CVE-2024-22023) CVSS 5.3 (Medium)

Odkazy