Ivanti a publié un bulletin de sécurité le 10 janvier 2024 concernant deux vulnérabilités qui affectent Ivanti Connect Secure (ICS) et Ivanti Policy Secure gateways.
Mise à jour du 31 janvier 2024 : Ivanti a mis à jour son bulletin de sécurité concernant la découverte de deux nouvelles vulnérabilités (CVE-2024-21888 et CVE-2024-21893) affectant Ivanti Neurons pour ZTA, Ivanti Connect Secure (ICS) et Ivanti Policy Secure gateways.
Une vulnerabilité de type injection de commande dans les composants web d’Ivanti Connect Secure et Ivanti Policy Secure a été découverte par des chercheurs en sécurité de Volexity. L’exploitation de cette vulnérabilité par un attaquant distant et authentifié permet, en envoyant une requête spécifiquement forgée, d’éxecuter du code arbitraire.