Escalada de privilegios en productos Pulse Secure
INCIBE-2023-0225
Pulse Secure Client SetupService Directory Traversal Local.
La vulnerabilidad de severidad alta podría permitir a un atacante local aumentar los privilegios en las instalaciones afectadas de Pulse Secure Client.
Restringir la interacción con la aplicación.
Para explotar la vulnerabilidad, un atacante primero debe obtener la capacidad de ejecutar código con pocos privilegios en el sistema de destino para aprovechar esta vulnerabilidad. El problema se debe a la falta de validación adecuada de una ruta proporcionada por el usuario antes de usarla en las operaciones con archivos. Un atacante puede aprovechar esta vulnerabilidad para aumentar los privilegios y ejecutar código arbitrario en el contexto del servicio.
Se ha asignado el identificador CVE-2023-34298 para esta vulnerabilidad.