Risque(s)
- Exécution de code arbitraire à distance
Systèmes affectés
- Pulse Connect Secure versions antérieures à 9.1R15 (disponibilité espérée en avril 2022)
- Ivanti Connect Secure (ICS) versions antérieures à 22.3 (disponibilité espérée en avril 2022)
- Pulse Desktop Client versions antérieures à 9.1R15 (disponibilité espérée en avril 2022)
Résumé
Une vulnérabilité a été découverte dans les produits Pulse Secure. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Pulse Secure SA45038 du 22 février 2022
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/CVE-2022-23852-Expat-aka-libexpat-before-2-4-4-has-a-signed-integer-overflow-in-XML-GetBuffer-for-configurations-with-a-nonzero-XML-CONTEXT-BYTES - Référence CVE CVE-2022-23852
https://www.cve.org/CVERecord?id=CVE-2022-23852