[TLP:CLEAR] Ivanti EPM Cloud Services Application opravuje 3 kritické zranitelnosti
Ivanti Cloud Service Application (CSA) pro Endpoint Manager (EPM) verzí 5.0.3 opravuje 3 kritické zranitelnosti [1].
Neautentizovanému vzdálenému útočníkovi je kvůli nedostatečné kontrole při autentizaci v administrátorské webové konzoli umožněno získat přístup s administrátorskými oprávněními [1].
Zranitelnost se nachází v produktu Ivanti Cloud Services Application ve verzích ve verzích >=5 AND <5.0.3
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-11639 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-288: Authentication Bypass Using an Alternate Path or Channel at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 12. 2024.
Autentizovanému vzdálenému útočníkovi s administrátorskými právy je v administrátorské webové konzoli umožněno spustit kód [1].
Zranitelnost se nachází v produktu Ivanti Cloud Services Application ve verzích ve verzích >=5 AND <5.0.3
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-11772 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 12. 2024.
Autentizovanému vzdálenému útočníkovi s administrátorskými právy je v administrátorské webové konzoli umožněno spouštět libovolné SQL dotazy [1].
Zranitelnost se nachází v produktu Ivanti Cloud Services Application ve verzích ve verzích >=5 AND <5.0.3
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-11773 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 12. 2024.
Publikovala Michaela Ručková dne 12. 12. 2024.
