HIGH🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2024-8190

CVSS 7.2v3.1pub. 2024-09-10upd. 2025-10-24

An OS command injection vulnerability in Ivanti Cloud Services Appliance versions 4.6 Patch 518 and before allows a remote authenticated attacker to obtain remote code execution. The attacker must have admin level privileges to exploit this vulnerability.

oryginał EN
CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
  • Ivanti Cloud Services Appliance

    APP
    Ivanti
    4.6

CISA KEV — szczegółyi

Dostawcai
Ivanti
Produkti
Cloud Services Appliance
Data dodania do KEVi
13 września 2024
Termin remediation (USA)i
4 października 2024(po terminie)
Wymagana akcja (CISA)i

Ponieważ Ivanti CSA osiągnęło status End-of-Life, użytkownicy są zobowiązani do usunięcia CSA 4.6.x z eksploatacji lub uaktualnienia do obsługiwanej serii 5.0.x, gdyż przyszłe luki w wersji 4.6.x CSA prawdopodobnie nie będą otrzymywać przyszłych aktualizacji bezpieczeństwa.

tłumaczenie AI
Pokaż oryginał (EN)

As Ivanti CSA has reached End-of-Life status, users are urged to remove CSA 4.6.x from service or upgrade to the 5.0.x line of supported solutions, as future vulnerabilities on the 4.6.x version of CSA are unlikely to receive future security updates.

Opis CISAi

Ivanti Cloud Services Appliance (CSA) zawiera lukę RCE w konsoli administracyjnej, która może pozwolić uwierzytelnionemu atakującemu posiadającemu uprawnienia administratora aplikacji na przekazanie poleceń do systemu operacyjnego.

tłumaczenie AI
Pokaż oryginał (EN)

Ivanti Cloud Services Appliance (CSA) contains an OS command injection vulnerability in the administrative console which can allow an authenticated attacker with application admin privileges to pass commands to the underlying OS.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 4 października 2024
Tagi
RCECommand Injection
CWE
Referencje

Powiązane podatności

CVE-2024-47908CRITICAL9.1PL ✓ten sam produkt

OS command injection w Ivanti CSA — RCE dla admina

CVE-2024-11639CRITICAL10.0PL ✓ten sam produkt

Authentication bypass w panelu admina Ivanti CSA — pełny dostęp bez logowania

CVE-2024-11772CRITICAL9.1PL ✓ten sam produkt

Command injection w konsoli administracyjnej Ivanti CSA umożliwia RCE

CVE-2024-11773CRITICAL9.1PL ✓ten sam produkt

SQL injection w konsoli administracyjnej Ivanti CSA — zdalne wykonanie zapytań SQL

CVE-2025-22460HIGH7.8ten sam produkt

Default credentials in Ivanti Cloud Services Application before version 5.0.5 allows a local authenticated att...