← volver
CVE-2021-22899

CVE-2021-22899

CVSS 8.8 HIGHEPSS 22.3%● KEVCWE-77
Vexday Risk Score
56Atención
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 8.8EPSS 22.3%KEV simPoC Nuclei Metasploit Patch
Ciclo de vida
27 may 2021Publicada en NVD
03 nov 2021Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen

Pulse Connect Secure tiene un fallo en su característica Windows Resource Profiles que permite a usuarios autenticados ejecutar comandos arbitrarios en el servidor. Esto es peligroso porque alguien con credenciales de inicio de sesión puede tomar control del sistema.

Detalle técnico

Vulnerabilidad de inyección de comandos (CWE-77) en la característica Windows Resource Profiles de Pulse Connect Secure en versiones anteriores a 9.1R11.4 permite que un atacante autenticado ejecute comandos del sistema arbitrarios con los privilegios de la aplicación, resultando en compromiso completo del servidor.

Resumen generado y traducido por IA a partir de la descripción oficial.
A command injection vulnerability exists in Pulse Connect Secure before 9.1R11.4 allows a remote authenticated attacker to perform remote code execution via Windows Resource Profiles Feature
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · Pulse Connect Secure

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/?kA23Z000000boUWSAYhttps://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2021-22899