CVE-2021-22900
CVE-2021-22900
Vexday Risk Score
56Atención
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
CVSS 7.2EPSS 14.1%KEV simPoC —Nuclei —Metasploit —Patch —
Ciclo de vida
27 may 2021Publicada en NVD
03 nov 2021Explotación activa (CISA KEV)
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
En resumen
Un administrador autenticado podría cargar un archivo malicioso en formato de compresión a través de la interfaz web de Pulse Connect Secure, permitiendo la escritura de archivos arbitrarios en el sistema. Esta vulnerabilidad afecta versiones anteriores a la 9.1R11.4.
Detalle técnico
Vulnerabilidad CWE-94 (Control Inadecuado de la Generación de Código) explotada mediante cargas sin restricción en la interfaz administrativa. Un administrador autenticado puede crear un archivo comprimido malicioso para escribir ficheros en el sistema debido a la validación insuficiente del contenido del archivo. Requiere privilegios administrativos y afecta Pulse Connect Secure versiones anteriores a 9.1R11.4.
Resumen generado y traducido por IA a partir de la descripción oficial.
A vulnerability allowed multiple unrestricted uploads in Pulse Connect Secure before 9.1R11.4 that could lead to an authenticated administrator to perform a file write via a maliciously crafted archive upload in the administrator web interface.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Productos afectados
n/a · Pulse Secure Secure¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →