Ivantiの複数製品で危険度の高い脆弱性が発生(CVE-2023-46805、CVE-2024-21887)
2024年1月10日 IvantiはIvanti Connect Secure(旧: Pulse Connect Secure)とIvanti Policy Secureゲートウェイにおける脆弱性に関するアドバイザリを公開しました。
脆弱性の内容
認証バイパスの脆弱性(CVE-2023-46805)とコマンドインジェクションの脆弱性(CVE-2024-21887)が対象で、脆弱性が組み合わされて悪用されると、遠隔の第三者が認証不要で任意のコマンドを実行する可能性があります。
対象バージョン
9.1R14.4
9.1R17.2
9.1R18.3
22.4R2.2
22.5R1.1
対策
2024年1月31日本脆弱性を修正するパッチを公開しました。その後、2024年2月8日(現地時間)、Ivantiは同製品におけるXML外部実体参照(XXE)の脆弱性(CVE-2024-22024)に関するアドバイザリを公開しました。