Connect Secure
Уязвимости
166
Эксплуатируемые
14
Макс. CVSS
10
Макс. EPSS
0.99999
Распределение по критичности
Критический
28
Высокий
82
Средний
54
Низкий
2
Затронутые диапазоны версий
22.6–22.7r29.0r1–9.0r3< 22.7< 22.7r2< 22.7r2.1< 22.7r2.2< 22.7r2.3< 22.7r2.4< 9.1≤ 22.7≤ 9.0
Также сопоставлено как (исходные строки): pulse_secure_desktop_client,zero_trust_access_gateway,connect secure,connect_secure,pulse_connect_secure,neurons_for_zero-trust_access,pulse_policy_secure,pulse_secure_virtual_application_delivery_controller,policy_secure
Топ уязвимостей
CVE-2021-22893Pulse Connect Secure 9.0R3/9.1R1 и более поздние версии уязвимы для уязвимости обхода аутентификации, предоставляемой функциями Windows File Share Browser и Pulse Secure Collaboration в Pulse Connect Secure, которая может позволить неаутентифицированному пользователю выполнять удаленное произвольное выполнение кода на шлюзе Pulse Connect Secure. Эта уязвимость использовалась в реальных условиях.
CVE-2019-11510В Pulse Secure Pulse Connect Secure (PCS) 8.2 до 8.2R12.1, 8.3 до 8.3R7.1 и 9.0 до 9.0R3.4 не прошедший проверку подлинности удаленный злоумышленник может отправить специально созданный URI для выполнения произвольной уязвимости чтения файлов.
CVE-2016-4787Pulse Connect Secure (PCS) 8.2 до 8.2r1, 8.1 до 8.1r2, 8.0 до 8.0r10 и 7.4 до 7.4r13.4 позволяют удаленным злоумышленникам читать конфиденциальные файлы системной аутентификации в неуказанном каталоге через неизвестные векторы.
BDU:2025-01566Уязвимость средства контроля сетевого доступа Ivanti Connect Secure связана с чтением данных за границами буфера в памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
CVE-2025-22457Переполнение буфера на основе стека в Ivanti Connect Secure до версии 22.7R2.6, Ivanti Policy Secure до версии 22.7R1.4 и Ivanti ZTA Gateways до версии 22.8R2.2 позволяет удаленному неаутентифицированному злоумышленнику добиться выполнения удаленного кода.
CVE-2024-21894Уязвимость переполнения кучи в компоненте IPSec Ivanti Connect Secure (9.x, 22.x) и Ivanti Policy Secure позволяет не прошедшему проверку подлинности злоумышленнику отправлять специально созданные запросы для сбоя службы, что приводит к атаке типа «отказ в обслуживании». В определенных условиях это может привести к выполнению произвольного кода.
CVE-2019-11540В Pulse Secure Pulse Connect Secure версии 9.0RX до 9.0R3.4 и 8.3RX до 8.3R7.1 и Pulse Policy Secure версии 9.0RX до 9.0R3.2 и 5.4RX до 5.4R7.1 не прошедший проверку подлинности удаленный злоумышленник может провести атаку с перехватом сеанса.
CVE-2018-6320Обнаружена уязвимость в login.cgi в Pulse Secure Pulse Connect Secure (PCS) 8.1RX до 8.1R12 и 8.3RX до 8.3R2 и Pulse Policy Secure (PPS) 5.2RX до 5.2R9 и 5.4RX до 5.4R2, при которой заголовок http(s) Host, полученный от браузера, считается доверенным без проверки.
CVE-2018-20813Проблема проверки ввода обнаружена в login_meeting.cgi в Pulse Secure Pulse Connect Secure 8.3RX до 8.3R2.
CVE-2018-20810Данные сеанса между узлами кластера во время синхронизации кластера должным образом не шифруются в Pulse Secure Pulse Connect Secure (PCS) 8.3RX до 8.3R2 и Pulse Policy Secure (PPS) 5.4RX до 5.4R2. Это не относится к PCS 8.1RX, PPS 5.2RX или автономным устройствам.
CVE-2024-39712Внедрение аргументов в Ivanti Connect Secure до версии 22.7R2.1 и 9.1R18.7 и Ivanti Policy Secure до версии 22.7R1.1 позволяет удаленному аутентифицированному злоумышленнику с правами администратора добиться удаленного выполнения кода.
CVE-2024-39711Внедрение аргументов в Ivanti Connect Secure до версии 22.7R2.1 и 9.1R18.7 и Ivanti Policy Secure до версии 22.7R1.1 позволяет удаленному аутентифицированному злоумышленнику с правами администратора добиться удаленного выполнения кода.
CVE-2024-39710Внедрение аргументов в Ivanti Connect Secure до версии 22.7R2.1 и 9.1R18.7 и Ivanti Policy Secure до версии 22.7R1.1 позволяет удаленному аутентифицированному злоумышленнику с правами администратора добиться удаленного выполнения кода.
CVE-2024-38656Внедрение аргументов в Ivanti Connect Secure до версии 22.7R2.2 и 9.1R18.9 и Ivanti Policy Secure до версии 22.7R1.2 позволяет удаленному аутентифицированному злоумышленнику с правами администратора добиться удаленного выполнения кода.
CVE-2024-21887Уязвимость инъекции команд в веб-компонентах Ivanti Connect Secure (9.x, 22.x) и Ivanti Policy Secure (9.x, 22.x) позволяет авторизованному администратору отправлять специально составленные запросы и выполнять произвольные команды на устройстве.
BDU:2025-01598Уязвимость средств контроля сетевого доступа Ivanti Connect Secure и Ivanti Policy Secure связана с некорректным внешним управлением именем или путем файла. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, записывать произвольные файлы
BDU:2024-10725Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure) и Ivanti Policy Secure связана с внедрением или модификацией аргументов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
BDU:2024-10719Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure) и Ivanti Policy Secure связана с внедрением или модификацией аргументов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
BDU:2024-10718Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure) и Ivanti Policy Secure связана с внедрением или модификацией аргументов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
BDU:2024-10717Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure) и Ivanti Policy Secure связана с внедрением или модификацией аргументов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
BDU:2024-10716Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure) и Ivanti Policy Secure связана с внедрением или модификацией аргументов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
BDU:2024-10324Уязвимость средств контроля сетевого Ivanti Connect Secure (ранее Pulse Connect Secure) и Ivanti Policy Secure доступа связана с некорректной обработкой входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код, отправив специально сформированный запрос
BDU:2024-10305Уязвимость средств контроля сетевого доступа Ivanti Connect Secure и Ivanti Policy Secure связана с непринятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код
BDU:2024-07987Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure) и Ivanti Policy Secure связана с непринятием мер по нейтрализации CRLF-последовательностей. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с root-привилегиями путём внедрения специально сформированного POST-запроса
BDU:2024-00249Уязвимость веб-интерфейсов средств контроля сетевого доступа Ivanti Connect Secure и Ivanti Policy Secure связана с непринятием мер по нейтрализации специальных элементов, используемых в команде ОС. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды путём отправки специально сформированных запросов