CVE-2021-22900
CVE-2021-22900
Vexday Risk Score
56Atenção
Decisão SSVC (CISA)
Act
Exploração + impacto → ação imediata
CVSS 7.2EPSS 14.1%KEV simPoC —Nuclei —Metasploit —Patch —
Ciclo de vida
27 mai 2021Publicada no NVD
03 nov 2021Exploração ativa (CISA KEV)
Recomendação: Corrigir o quanto antes — há exploração ativa confirmada.
Em resumo
Um administrador autenticado poderia fazer upload de um arquivo malicioso em formato de arquivo (como ZIP) através da interface web do Pulse Connect Secure, permitindo a escrita de arquivos arbitrários no sistema. Essa falha afeta versões anteriores à 9.1R11.4.
Detalhe técnico
Vulnerabilidade de CWE-94 (Controle Inadequado da Geração de Código) explorada através de uploads sem restrição na interface administrativa. Um administrador autenticado consegue criar um arquivo compactado malicioso para escrever arquivos no sistema devido à validação insuficiente do conteúdo do arquivo. Requer privilégios administrativos e afeta Pulse Connect Secure versões anteriores à 9.1R11.4.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A vulnerability allowed multiple unrestricted uploads in Pulse Connect Secure before 9.1R11.4 that could lead to an authenticated administrator to perform a file write via a maliciously crafted archive upload in the administrator web interface.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · Pulse Secure SecureQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →