AVIS CERTFR - 2022 - AVI - 174
Publié le 23 février 2022 à 19h27
Objet : Vulnérabilité dans les produits Pulse Secure
Référence : CERTFR-2022-AVI-174
Risque(s)
- Exécution de code arbitraire à distance
Systèmes affectés
- Pulse Connect Secure versions antérieures à 9.1R15 (disponibilité espérée en avril 2022)
- Ivanti Connect Secure (ICS) versions antérieures à 22.3 (disponibilité espérée en avril 2022)
- Pulse Desktop Client versions antérieures à 9.1R15 (disponibilité espérée en avril 2022)
Résumé
Une vulnérabilité a été découverte dans les produits Pulse Secure. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Pulse Secure SA45038 du 22 février 2022
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/CVE-2022-23852-Expat-aka-libexpat-before-2-4-4-has-a-signed-integer-overflow-in-XML-GetBuffer-for-configurations-with-a-nonzero-XML-CONTEXT-BYTES
- Référence CVE CVE-2022-23852
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23852
Dernière version de ce document