Vulnerabilidad en Ivanti (CVE-2022-35254)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)

Fecha de publicación:

05/12/2022

Última modificación:

27/02/2024

Descripción

Un atacante no autenticado puede provocar una Denegación de Servicio (DoS) a los siguientes productos: <br /> Ivanti Connect Secure (ICS) en versiones anteriores a 9.1R14.3, 9.1R15.2, 9.1R16.2 y 22.2R4, <br /> Ivanti Policy Secure (IPS ) en versiones anteriores a 9.1R17 y 22.3R1,<br /> e Ivanti Neurons for Zero-Trust Access en versiones anteriores a 22.3R1.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:ivanti:connect_secure::::::::		9.1 (excluyendo)
cpe:2.3:a:ivanti:connect_secure:9.1:-::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r1::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r1.0::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r10.0::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r10.2::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r11.0::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r11.1::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r11.3::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r11.4::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r11.5::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r12::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r12.1::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r12.2::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r13::::::

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA45520/?kA23Z000000GH5OSAW=

CPE	Desde	Hasta
cpe:2.3:a:ivanti:connect_secure::::::::		9.1 (excluyendo)
cpe:2.3:a:ivanti:connect_secure:9.1:-::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r1::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r1.0::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r10.0::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r10.2::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r11.0::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r11.1::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r11.3::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r11.4::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r11.5::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r12::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r12.1::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r12.2::::::
cpe:2.3:a:ivanti:connect_secure:9.1:r13::::::