An OS command injection vulnerability in Ivanti Cloud Services Appliance versions 4.6 Patch 518 and before allows a remote authenticated attacker to obtain remote code execution. The attacker must have admin level privileges to exploit this vulnerability.
oryginał ENCVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:HIvanti Cloud Services Appliance
APPIvanti4.6
CISA KEV — szczegółyi
- Dostawcai
- Ivanti ↗
- Produkti
- Cloud Services Appliance
- Data dodania do KEVi
- 13 września 2024
- Termin remediation (USA)i
- 4 października 2024(po terminie)
Ponieważ Ivanti CSA osiągnęło status End-of-Life, użytkownicy są zobowiązani do usunięcia CSA 4.6.x z eksploatacji lub uaktualnienia do obsługiwanej serii 5.0.x, gdyż przyszłe luki w wersji 4.6.x CSA prawdopodobnie nie będą otrzymywać przyszłych aktualizacji bezpieczeństwa.
▸ Pokaż oryginał (EN)
As Ivanti CSA has reached End-of-Life status, users are urged to remove CSA 4.6.x from service or upgrade to the 5.0.x line of supported solutions, as future vulnerabilities on the 4.6.x version of CSA are unlikely to receive future security updates.
Ivanti Cloud Services Appliance (CSA) zawiera lukę RCE w konsoli administracyjnej, która może pozwolić uwierzytelnionemu atakującemu posiadającemu uprawnienia administratora aplikacji na przekazanie poleceń do systemu operacyjnego.
▸ Pokaż oryginał (EN)
Ivanti Cloud Services Appliance (CSA) contains an OS command injection vulnerability in the administrative console which can allow an authenticated attacker with application admin privileges to pass commands to the underlying OS.
Powiązane podatności
OS command injection w Ivanti CSA — RCE dla admina
Authentication bypass w panelu admina Ivanti CSA — pełny dostęp bez logowania
Command injection w konsoli administracyjnej Ivanti CSA umożliwia RCE
SQL injection w konsoli administracyjnej Ivanti CSA — zdalne wykonanie zapytań SQL
Default credentials in Ivanti Cloud Services Application before version 5.0.5 allows a local authenticated att...