0x01 产品简介
Ivanti 是一家软件和信息技术服务公司,专注于提供用于 IT 管理、安全、服务管理和终端管理等方面的解决方案。Ivanti Connect Secure 和 Ivanti Policy Secure 是 Ivanti 公司提供的两个安全性解决方案的组成部分,主要用于网络安全和连接性管理。
0x02 漏洞概述
此漏洞是由于Ivanti Connect Secure、Ivanti Policy Secure和 Ivanti Neurons for ZTA 的 SAML 组件中存在服务器端请求伪造漏洞,因此攻击者可利用该漏洞在未经身份验证的情况下访问某些受限资源,结合相关功能造成远程代码执行。
0x03 影响范围
Ivanti Neurons for ZTA<22.6R1.3
9.0<=Ivanti Connect Secure<9.1R14.4
9.0<=Ivanti Connect Secure<9.1R17.2
9.0<=Ivanti Connect Secure<9.1R18.3
22.0<=Ivanti Connect Secure<22.4R2.2
22.0<=Ivanti Connect Secure<22.5R1.1
9.0<=Ivanti Policy Secure<10.0
22.0<=Ivanti Policy Secure<23