CVE-2024-38657 Ivanti — эксплойт и детали уязвимости MEDIUM

Параметр	Значение
CVSS	4,9 (MEDIUM)
Уязвимые версии	до 22.7
Устранено в версии	22.7
Тип уязвимости	CWE-73 (Внешнее управление именем файла)
Поставщик	Ivanti
Публичный эксплойт	Нет

Внешний контроль имени файла в Ivanti Connect Secure до версии 22.7R2.4 и Ivanti Policy Secure до версии 22.7R1.3 позволяет удаленному аутентифицированному злоумышленнику с правами администратора записывать произвольные файлы.

Показать оригинальное описание (EN)

External control of a file name in Ivanti Connect Secure before version 22.7R2.4 and Ivanti Policy Secure before version 22.7R1.3 allows a remote authenticated attacker with admin privileges to write arbitrary files.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Высокие

Нужны права администратора

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Нет

Нет утечки данных

Целостность

Высокое

Полная модификация данных

Доступность

Нет

Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-73 External Control of File Name or Path (Внешнее управление именем файла)

Уязвимые продукты 17

Конфигурация	От (включительно)	До (исключительно)
Ivanti Connect_Secure cpe:2.3:a:ivanti:connect_secure::::::::	—	`22.7`
Ivanti Connect_Secure cpe:2.3:a:ivanti:connect_secure:22.7:-::::::	—	—
Ivanti Connect_Secure cpe:2.3:a:ivanti:connect_secure:22.7:r1::::::	—	—
Ivanti Connect_Secure cpe:2.3:a:ivanti:connect_secure:22.7:r1.1::::::	—	—
Ivanti Connect_Secure cpe:2.3:a:ivanti:connect_secure:22.7:r1.2::::::	—	—
Ivanti Connect_Secure cpe:2.3:a:ivanti:connect_secure:22.7:r1.3::::::	—	—
Ivanti Connect_Secure cpe:2.3:a:ivanti:connect_secure:22.7:r1.4::::::	—	—
Ivanti Connect_Secure cpe:2.3:a:ivanti:connect_secure:22.7:r1.5::::::	—	—
Ivanti Connect_Secure cpe:2.3:a:ivanti:connect_secure:22.7:r2::::::	—	—
Ivanti Connect_Secure cpe:2.3:a:ivanti:connect_secure:22.7:r2.1::::::	—	—
Ivanti Connect_Secure cpe:2.3:a:ivanti:connect_secure:22.7:r2.2::::::	—	—
Ivanti Connect_Secure cpe:2.3:a:ivanti:connect_secure:22.7:r2.3::::::	—	—
Ivanti Policy_Secure cpe:2.3:a:ivanti:policy_secure::::::::	—	`22.7`
Ivanti Policy_Secure cpe:2.3:a:ivanti:policy_secure:22.7:-::::::	—	—
Ivanti Policy_Secure cpe:2.3:a:ivanti:policy_secure:22.7:r1::::::	—	—
Ivanti Policy_Secure cpe:2.3:a:ivanti:policy_secure:22.7:r1.1::::::	—	—
Ivanti Policy_Secure cpe:2.3:a:ivanti:policy_secure:22.7:r1.2::::::	—	—

Ссылки 1

https://forums.ivanti.com/s/article/February-Security-Advisory-Ivanti-Connect-S…

support@hackerone.com

Share Post Share Share Share

Связанные уязвимости

CVE-2026-1281

Ivanti

9,8

CVE-2025-10918

Ivanti

7,1

CVE-2025-22454

Ivanti

7,8

CVE-2025-22467

Ivanti

8,8

CVE-2024-47908

Ivanti

7,2

Меню

CVE-2024-38657

Характеристики атаки

Последствия

Строка CVSS v3.1

Тип уязвимости (CWE)

Уязвимые продукты 17

Ссылки 1

Связанные уязвимости

CVE-2026-1281

CVE-2025-10918

CVE-2025-22454

CVE-2025-22467

CVE-2024-47908

Сводка

Выбор редакции

Меню

CVE-2024-38657

Характеристики атаки

Последствия

Строка CVSS v3.1

Тип уязвимости (CWE)

Уязвимые продукты 17

Ссылки 1

Связанные уязвимости

CVE-2026-1281

CVE-2025-10918

CVE-2025-22454

CVE-2025-22467

CVE-2024-47908

Сводка

Выбор редакции

Будьте в курсе кибербезопасности