Multiples vulnérabilités dans Ivanti
Date de publication :
CVE-2022-35254 et CVE-2022-35258[Score CVSS v3.1: 7.5]
Deux vulnérabilités dans le produit Ivanti Connect Secure permettent à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, de provoquer un déni de service.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Déni de service
Criticité
Score CVSS v3.1: 7.5
La faille est activement exploitée
Non, pour l’ensemble des CVE présentées.
Un correctif existe
Oui, pour l’ensemble des CVE présentées.
Une mesure de contournement existe
Non, pour l’ensemble des CVE présentées.
La vulnérabilité exploitée est du type
Pour l’ensemble des CVE présentées
En cours de Recherche
Détails sur l’exploitation
Pour l’ensemble des vulnérabilités présentées
Vecteur d’attaque : Réseau.
Complexité de l’attaque : Faible.
Privilèges nécessaires pour réaliser l’attaque : Aucun.
Interaction d’un utilisateur ayant accès au produit est-elle nécessaire : Non.
L’exploitation de la faille permet d’obtenir des droits privilégiés : Non.
Composants vulnérables
Pour l’ensemble des CVE présentées
Ivanti Policy Secure versions 9.1R16, 22.2R1 et antérieures
Ivanti Neurons for Zero- Trust Gateway versions 22.2R1 et antérieures
Ivanti Connect Secure versions antérieures à 9.1R14.3 (LTS), 9.1R15.2, 9.1R16.2 et 22.2R4
Solutions ou recommandations
Pour Ivanti Connect Secure (ICS), mettre à jour vers les versions :
• 9.1R14.3 (LTS)
• 9.1R15.2
• 9.1R16.2
• 22.2R4
Pour Ivanti Policy Secure (IPS), mettre à jour vers les versions 9.1R17 ou 22.3R1.
Pour Ivanti Neurons for Zero-Trust Gateway, mettre à jour vers la version 22.3R1.