CVE-2023-38551

EPSS 0.58%
Veröffentlicht 31.05.2024 18:15:09
Zuletzt bearbeitet 27.03.2025 21:15:42
Quelle support@hackerone.com
CVE-Watchlists
Login
Unerledigt
Login

A CRLF Injection vulnerability in Ivanti Connect Secure (9.x, 22.x) allows an authenticated high-privileged user to inject malicious code on a victim’s browser, thereby leading to cross-site scripting attack.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 4

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch das CVE Programm von einer CVE Numbering Authority (CNA) (Unstrukturiert).

HerstellerIvanti

≫

Produkt Connect Secure

Default Statusunaffected

Version < 22.7R2

Version 22.7R2

Status affected

Version < 22.5R2.2

Version 22.5R2.2

Status affected

Version < 9.1R18.6

Version 9.1R18.6

Status affected

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.58%	0.681

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
support@hackerone.com	8.2	2.3	5.3	CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:L/I:L/A:H

CWE-93 Improper Neutralization of CRLF Sequences ('CRLF Injection')

The product uses CRLF (carriage return line feeds) as a special element, e.g. to separate lines or records, but it does not neutralize or incorrectly neutralizes CRLF sequences from inputs.

https://forums.ivanti.com/s/article/Security-Advisory-May-2024

https://nvd.nist.gov/vuln/detail/CVE-2023-38551

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2023-38551

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2023-38551

EUVD