PT-2021-5240 · Ivanti · Ivanti Avalanche
Publicado
2021-09-22
·
Atualizado
2021-12-08
·
CVE-2021-42127
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Ivanti Avalanche anteriores à 6.3.3
Descrição
O problema está relacionado a uma vulnerabilidade de deserialização de dados não confiáveis no serviço StatServer do Ivanti Avalanche. Essa vulnerabilidade pode ser explorada por um invasor remoto para executar código arbitrário através do envio de dados especialmente criados. A vulnerabilidade está associada ao serviço Inforail e pode ser explorada por meio do serviço Data Repository.
Recomendações
Para versões anteriores à 6.3.3, atualize para a versão 6.3.3 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao serviço Data Repository para minimizar o risco de exploração. Evite usar o serviço Inforail até que o problema seja resolvido.
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ivanti Avalanche