脆弱性 CVE-2021-44720 について

2022年9月改訂
株式会社日立ソリューションズ
Pulse Secure製品ユーザーサポート

平素よりご高配を賜り厚く御礼申し上げます。

2022年8月にIvanti(旧Pulse Secure)社製品の脆弱性情報 CVE-2021-44720 が脆弱性情報データベースにて公表されました。本脆弱性について以下にご案内させていただきます。

Pulse Connect Secure OS（PCSOS）9.1R11.4以前のバージョンには、CVE-2021-44720の脆弱性がございます。

攻撃者は管理画面にログインできることが条件です。
攻撃者は読み取り専用の管理者ユーザのアカウントを何らかの方法で入手し、PCSの管理画面にログインし、[Target Name] targets.cgi 画面の HTMLソースコードを使って読み取り/書き込み権限に昇格させ、PCSの設定を変更できてしまいます。

Ivanti製品（PCS/ICS）
CVE-2021-44720
7.2 High CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Pulse Connect Secure 9.1R11.4以前
※9.1以前のOSも影響を受けます。

本脆弱性はPulse Connect Secure 9.1R12にて改修済みとなります。
恐れ入りますが、本脆弱性について修正済みバージョンへのアップグレードをご検討いただけますよう、よろしくお願いいたします。

メーカー情報ページ
KB45443 - CVE-2021-44720 - Password showing in plain text
https://forums.ivanti.com/s/article/KB45443?language=en_US

脆弱性情報(NVDページ)
https://nvd.nist.gov/vuln/detail/CVE-2021-44720

本内容に対する不明点等ございましたら、弊社MAG/PSAサポート(sa-user@hitachi-solutions.com)までご連絡ください。
尚、脆弱性の詳細については上記で公開されている以上の情報を保持しておりませんため回答いたしかねます。 大変恐れ入りますが、ご理解・ご協力いただきますようお願い申し上げます。