PT-2021-4940 · Pulse · Pulse Connect Secure
Publicado
2021-05-03
·
Atualizado
2024-02-27
·
CVE-2021-22899
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Pulse Connect Secure anteriores à 9.1R11.4
Descrição
O problema está relacionado à validação insuficiente de entradas no componente Perfis de Recursos dos gateways VPN do Pulse Connect Secure para redes corporativas. Isso permite que um invasor remoto execute código arbitrário enviando uma solicitação especialmente criada. Existe uma vulnerabilidade de injeção de comando, permitindo que um invasor remoto autenticado execute código remotamente por meio do recurso Perfis de Recursos do Windows.
Recomendações
Para versões anteriores à 9.1R11.4, atualize para a versão 9.1R11.4 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao recurso Perfis de Recursos do Windows até que um patch seja aplicado.
Correção
RCE
OS Command Injection
Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Pulse Connect Secure