Multiples vulnérabilités dans Ivanti
Date de publication :
CVE-2022-35254 et CVE-2022-35258[Score CVSS v3.1: 7.5]
Deux vulnérabilités dans le produit Ivanti Connect Secure permettent à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, de provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Déni de service
Criticité
- Score CVSS v3.1: 7.5
La faille est activement exploitée
- Non, pour l’ensemble des CVE présentées.
Un correctif existe
- Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
- Non, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
- Pour l’ensemble des CVE présentées
En cours de Recherche
Détails sur l’exploitation
Pour l’ensemble des vulnérabilités présentées
- Vecteur d’attaque : Réseau.
- Complexité de l’attaque : Faible.
- Privilèges nécessaires pour réaliser l’attaque : Aucun.
- Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
- L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour l’ensemble des CVE présentées
- Ivanti Policy Secure versions 9.1R16, 22.2R1 et antérieures
- Ivanti Neurons for Zero- Trust Gateway versions 22.2R1 et antérieures
- Ivanti Connect Secure versions antérieures à 9.1R14.3 (LTS), 9.1R15.2, 9.1R16.2 et 22.2R4
Solutions ou recommandations
Pour Ivanti Connect Secure (ICS), mettre à jour vers les versions :
• 9.1R14.3 (LTS)
• 9.1R15.2
• 9.1R16.2
• 22.2R4
Pour Ivanti Policy Secure (IPS), mettre à jour vers les versions 9.1R17 ou 22.3R1.
Pour Ivanti Neurons for Zero-Trust Gateway, mettre à jour vers la version 22.3R1.