[TLP:CLEAR] Ivanti opravuje 49 zranitelností
Ivanti ve svých produktech opravuje 49 zranitelností. Níže naleznete nejzávažnější z nich, další lze najít na [1][2][3]. Produkty a jejich opravené verze: Ivanti Avalanche - 6.4.6 Ivanti Endpoint Manager (EPM) - 2024 November Security Update, 2022 SU6 November Security Update Ivanti Connect Secure (ICS) - 22.7R2.3 Ivanti Policy Secure (IPS) - 22.7R1.2
Neautentizovanému vzdálenému útočníkovi je kvůli dereferenci nulového ukazatele v Ivanti Avalanche umožněno vykonat útok DoS [1].
Zranitelnost se nachází v produktu Ivanti Avalanche ve verzích ve verzích >=6 AND <6.4.6
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2024-50317 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-50318 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-476: NULL Pointer Dereference at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 11. 2024.
Neautentizovanému vzdálenému útočníkovi je kvůli nekonečné smyčky v Ivanti Avalanche umožněno vykonat útok DoS [1].
Zranitelnost se nachází v produktu Ivanti Avalanche ve verzích ve verzích >=6 AND <6.4.6
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2024-50319 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-50320 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-50321 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-835: Loop with Unreachable Exit Condition ('Infinite Loop') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 11. 2024.
Neautentizovanému vzdálenému útočníkovi je skrze čtení mimo rozsah bufferu v Ivanti Avalanche umožněno neoprávněně získat potenciálně citlivé informace [1].
Zranitelnost se nachází v produktu Ivanti Avalanche ve verzích ve verzích >=6 AND <6.4.6
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2024-50331 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-125: Out-of-bounds Read at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 11. 2024.
Neautentizovanému vzdálenému útočníkovi je v Ivanti EPM umožněno spustit kód [2].
Zranitelnost se nachází v produktu Ivanti Endpoint Manager
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-50330 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 11. 2024.
Neautentizovanému vzdálenému útočníkovi je v Ivanti EPM s využitím metod sociálního inženýrství umožněno spustit kód [2].
Zranitelnost se nachází v produktu Ivanti Endpoint Manager
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-50329 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 11. 2024.
Neautentizovanému lokálnímu útočníkovi je v Ivanti EPM s využitím metod sociálního inženýrství umožněno spustit kód [2].
Zranitelnost se nachází v produktu Ivanti Endpoint Manager
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-34787 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-50322 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 11. 2024.
Neautentizovanému lokálnímu útočníkovi je v Ivanti EPM s využitím metod sociálního inženýrství umožněno spustit kód [2].
Zranitelnost se nachází v produktu Ivanti Endpoint Manager
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-50323 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 11. 2024.
Autentizovanému vzdálenému útočníkovi s administrátorskými právy je v Ivanti EPM umožněno spustit kód [2].
Zranitelnost se nachází v produktu Ivanti Endpoint Manager
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-32839 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-32841 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-32844 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-32847 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-34780 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-37376 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-34781 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-34782 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-34784 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-50326 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-50327 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-50328 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 11. 2024.
Autentizovánému vzdálenému útočníkovi s administrátorskými právy je v ICS a IPS umožněno spustit kód [3].
Zranitelnost se nachází v produktech:
- Ivanti Connect Secure ve verzích (>=22.1R1 AND <22.7R2.3) OR (>=9.1R1 AND <9.1R18.9)
- Ivanti Policy Secure ve verzích >=22.1R1 AND <22.7R1.2
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-38655 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-38656 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-39710 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-39711 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-39712 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-88: Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 11. 2024.
Autentizovánému vzdálenému útočníkovi s administrátorskými právy je v ICS a IPS umožněno spustit kód [3].
Zranitelnost se nachází v produktech:
- Ivanti Connect Secure ve verzích >=22.1R1 AND <22.7R2.1
- Ivanti Policy Secure ve verzích >=22.1R1 AND <22.7R1.1
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-11005 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-11006 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-11007 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 11. 2024.
Odkazy
- [1] https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Avalanche-Multiple-CVEs-Q4-2024-Release
- [2] https://forums.ivanti.com/s/article/Security-Advisory-EPM-November-2024-for-EPM-2024-and-EPM-2022
- [3] https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-ICS-Ivanti-Policy-Secure-IPS-Ivanti-Secure-Access-Client-ISAC-Multiple-CVEs
Publikovala Michaela Ručková dne 29. 11. 2024.
