[TLP:CLEAR] Ivanti Connect Secure a Policy Secure opravují 5 zranitelností
Ivanti ve svých produktech opravuje 5 zranitelností, z toho 2 kritické. Produkty a jejich opravy: Ivanti Connect Secure (ICS) - 22.7R2.4 Ivanti Policy Secure (IPS) - 22.7R1.2
Autentizovanému vzdálenému útočníkovi s administrátorskými právy je v ICS a IPS umožněno spustit kód [1].
Zranitelnost se nachází v produktech:
- Ivanti Connect Secure ve verzích >=22.1R1 AND <22.7R2.3
- Ivanti Policy Secure ve verzích >=22.1R1 AND <22.7R1.2
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-11634 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-77: Improper Neutralization of Special Elements used in a Command ('Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 12. 2024.
Autentizovanému vzdálenému útočníkovi s administrátorskými právy je v ICS umožněno spustit kód [1].
Zranitelnost se nachází v produktu Ivanti Connect Secure ve verzích ve verzích >=22.1R1 AND <22.7R2.4
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-11633 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-88: Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 12. 2024.
Neautentizovanému vzdálenému útočníkovi je v ICS skrze čtení mimo hranice alokované paměti v rámci implementace IPsec umožněno vykonat DoS útok [1].
Zranitelnost se nachází v produktu Ivanti Connect Secure ve verzích ve verzích >=22.1R1 AND <22.7R2.1
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2024-37401 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-125: Out-of-bounds Read at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 12. 2024.
Autentizovanému vzdálenému útočníkovi je kvůli nedostatečné kontrole v Secure Application Manager v ICS umožněno obejít bezpečnostní omezení a neoprávněně přistupovat k informacím [1].
Zranitelnost se nachází v produktu Ivanti Connect Secure ve verzích ve verzích >=22.1R1 AND <22.7R2.4
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:N
Více informací:
- CVE-2024-9844 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-602: Client-Side Enforcement of Server-Side Security at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 12. 2024.
Neautentizovanému vzdálenému útočníkovi je v ICS skrze přetečení bufferu na haldě v rámci implementace IPsec umožněno vykonat DoS útok [1].
Zranitelnost se nachází v produktu Ivanti Connect Secure ve verzích ve verzích >=22.1R1 AND <22.7R2.3
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2024-37377 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 12. 2024.
Publikovala Michaela Ručková dne 12. 12. 2024.
