Банк данных угроз безопасности информации

Федеральная служба по техническому и экспортному контролю

ФСТЭК России

Государственный научно-исследовательский испытательный институт проблем технической защиты информации

ФАУ «ГНИИИ ПТЗИ ФСТЭК России»

BDU:2021-02075: Уязвимость исполняемого файла PulseSecureService.exe корпоративного SSL на основе VPN Pulse Secure Desktop Client, позволяющая нарушителю повысить свои привилегии

Описание уязвимости	Уязвимость исполняемого файла PulseSecureService.exe корпоративного SSL на основе VPN Pulse Secure Desktop Client вызвана «ситуацией гонки». Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии
Вендор	Pulsesecure
Наименование ПО	Pulse Secure Desktop Client
Версия ПО	до 9.1R6
Тип ПО	Средство защиты, Сетевое средство, Программное средство защиты, Сетевое программное средство
Операционные системы и аппаратные платформы	Данные уточняются
Тип ошибки	Ситуация гонки Time-of-check Time-of-use (TOCTOU)
Идентификатор типа ошибки	CWE-367
Класс уязвимости	Уязвимость кода
Дата выявления	16.06.2020
Базовый вектор уязвимости	AV:L/AC:H/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости	Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6) Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)
Возможные меры по устранению уязвимости	Использование рекомендаций: https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44503
Статус уязвимости	Подтверждена производителем
Наличие эксплойта	Данные уточняются
Способ эксплуатации	Манипулирование сроками и состоянием
Способ устранения	Обновление программного обеспечения
Информация об устранении	Уязвимость устранена
Ссылки на источники	https://nvd.nist.gov/vuln/detail/CVE-2020-13162 https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44503
Идентификаторы других систем описаний уязвимостей	CVE: CVE-2020-13162
Прочая информация	Данные уточняются

Последние изменения