PT-2022-12211 · Ivanti · Ivanti Pulse Secure Pulse Connect Secure
Joel Garcia Santisima Trinidad
·
Publicado
2022-08-11
·
Atualizado
2024-02-27
·
CVE-2021-44720
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Ivanti Pulse Secure Pulse Connect Secure (PCS) anteriores à 9.1R12
Descrição
A senha de administrador está armazenada no código-fonte HTML da tela “Maintenance > Push Configuration > Targets > Target Name” (Manutenção > Configuração de envio > Destinos > Nome do destino) do arquivo targets.cgi, permitindo que um usuário administrativo com permissão de leitura apenas obtenha acesso a uma função administrativa com permissão de leitura e gravação.
Recomendações
Para versões anteriores à 9.1R12, atualize para a versão 9.1R12 ou posterior para resolver o problema.
Correção
Using Hardcoded Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ivanti Pulse Secure Pulse Connect Secure