개요
Ivanti 社는 자사 제품에서 발생하는 취약점을 해결한 보안 업데이트 발표
공격자는 해당 취약점을 악용하여 피해를 발생시킬 수 있으므로, 최신버전으로 업데이트 권고
주요 내용
|
CVE ID |
내용 |
심각도(CVSSv3) |
|---|---|---|
|
CVE-2024-21893 |
Ivanti Connect Secure(이전 Pulse Secure) 및 Ivanti Policy Secure Gateways에 서버 측 위조 취약점 |
HIGH(8.2) |
취약점 설명
Ivanti Connect Secure(이전 Pulse Secure) 및 Ivanti Policy Secure Gateways에 서버 측 위조 취약점이 보고되었습니다.
이 취약점은 HTTP 매개 변수의 잘못된 유효성 검사로 인해 발생합니다.
원격 공격자는 대상 서버에 조작된 요청을 전송함으로써 이 취약점을 이용할 수 있습니다.
공격이 성공하면 취약 애플리케이션을 실행하는 웹 서버의 보안 컨텍스트에서 임의 OS 명령을 실행할 수 있습니다.
영향받는 제품 및 해결 버전
|
제품명 |
영향 받는 버전 |
최신 패치 버전 |
|---|---|---|
|
Ivanti Connect Secure |
– |
9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2, 22.5R1.1 and 22.5R2.2 |
|
Ivanti Policy Secure |
– |
22.5R1.1 |
참고사이트 내용을 참고하여 가장 최신의 패치 적용
참고사이트
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-21893
https://nvd.nist.gov/vuln/detail/CVE-2024-21893
참고정보
AIPS/HIPS:
Ivanti Connect Secure and Policy Secure Gateways Server Side Script Forgery-1