Pulse Secure - CVE-2023-34298
Date de publication :
Date de mise à jour :
Une vulnérabilité de type « Path Traversal » dans Pulse Secure Client permet à un attaquant authentifié, en exécutant du code, d’obtenir les privilèges de l’application.
Informations
La faille est activement exploitée : Non
Un correctif existe : Non
Une mesure de contournement existe : Non
Élévation de privilèges
Exploitation
La vulnérabilité exploitée est du type
CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')
Détails sur l'exploitation
• Vecteur d'attaque : Local
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
Pulse Secure Client
Solutions ou recommandations
Aucun correctif n’est disponible pour le moment. Il est recommandé de surveiller les requêtes vers le service SetupService.
Des informations complémentaires sont disponibles dans le bulletin de Zero Day Initiative.