← voltar
CVE-2020-8243

CVE-2020-8243

CVSS 7.2 HIGHEPSS 90.8%● KEVCWE-94
Em resumo

Um atacante autenticado pode enviar um modelo customizado para a interface administrativa do Pulse Connect Secure (versões anteriores à 9.1R8.2) para executar código arbitrário no servidor.

Detalhe técnico

A vulnerabilidade está na funcionalidade de carregamento de modelos da interface web administrativa, permitindo que usuários autenticados enviem modelos maliciosos que contornam validações e executam código arbitrário. CWE-94 (Code Injection) permite injeção de código através de modelos, resultando em execução remota com autenticação necessária como pré-condição.

Resumo gerado e traduzido por IA a partir da descrição oficial.
A vulnerability in the Pulse Connect Secure < 9.1R8.2 admin web interface could allow an authenticated attacker to upload custom template to perform an arbitrary code execution.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
n/a · Pulse Connect Secre

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44588https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2020-8243