Ivanti remediază vulnerabilități din cadrul mai multor produse
Sursă: https://www.securityweek.com
Compania de software IT Ivanti a anunțat marți actualizări pentru aproape 50 de vulnerabilități, inclusiv 8 vulnerabilități critice în Connect Secure, Policy Secure și Endpoint Manager.
Vulnerabilitățile critice, urmărite ca CVE-2024-38655, CVE-2024-38656, CVE-2024-39710 până la CVE-2024-39712, și CVE-2024-11005 până la CVE-2024-11007, sunt descrise ca erori de injectare de argumente și comenzi care ar putea permite atacatorilor autentificați cu privilegii de administrator să obțină executarea codului de la distanță (RCE).
Ivanti a remediat aceste erori în Connect Secure versiunea 22.7R2.3 și Policy Secure versiunea 22.7R1.2, care includ, de asemenea, remedieri pentru 8 vulnerabilități cu severitate high și 2 vulnerabilități cu severitate medie ce ar putea duce la escaladarea privilegiilor, atacuri de tip denial-of-service (DoS) și RCE.
Avizul companiei atrage, de asemenea, atenția asupra a 5 vulnerabilități cu severitate high și 2 vulnerabilități cu severitate medie din Secure Access Client, care ar putea fi exploatate pentru escaladarea privilegiilor, falsificarea fișierelor de configurare esențiale, crearea de foldere arbitrare și atacuri DoS.
Ivanti a anunțat că remedierile pentru toate cele 7 vulnerabilități au fost incluse în versiunea 22.7R4 a Secure Access Client.
Marți, Ivanti a lansat, de asemenea, actualizări pentru mai multe vulnerabilități în Endpoint Manager, inclusiv o eroare critică care ar putea fi exploatată de la distanță, fără autentificare, pentru a executa cod arbitrar. Aceasta a fost identificată drept CVE-2024-50330, scor CvSS de 9,8/10 și a fost descrisă ca vulnerabilitate de tip SQL injection.
De asemenea, Ivanti a remediat vulnerabilitatea și alte 17 vulnerabilități de tip RCE cu grad de severitate high odată cu lansarea versiunilor 2024 November Security Update și 2022 SU6 November Security Update ale Endpoint Manager.
În plus, compania a anunțat remedierea a 6 vulnerabilități cu grad de severitate high în Avalanche care ar putea permite unui atacator neautentificat să provoace atacuri de tip DoS sau să citească informații sensibile din memorie. Ivanti Avalanche versiunea 6.4.6 remediază toate cele șase erori.
Sursă: https://www.securityweek.com/ivanti-patches-50-vulnerabilities-across-several-products/
