Внедрение команд ОС в веб-консоль администратора Ivanti CSA до версии 5.0.5 позволяет злоумышленнику, прошедшему удаленную аутентификацию, с правами администратора добиться удаленного выполнения кода.
Показать оригинальное описание (EN)
OS command injection in the admin web console of Ivanti CSA before version 5.0.5 allows a remote authenticated attacker with admin privileges to achieve remote code execution.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Высокие
Нужны права администратора
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Ivanti Cloud_Services_Appliance
cpe:2.3:a:ivanti:cloud_services_appliance:*:*:*:*:*:*:*:*
|
— |
5.0.5
|