[TLP:CLEAR] Ivanti opravuje 2 zranitelnosti ve svých produktech
Ivanti opravuje dvě zranitelnosti v produktech Ivanti Endpoint Manager a Docs@Work. Zranitelnost v Docs@Work je opravena ve verzi 2.26.1 [1], zatímco zranitelnost v Ivanti Endpoint Manager je řešena v rámci Hot Patch [2].
Autentizovanému lokálnímu útočníkovi je umožněno číst citlivé informace uložené v kořenovém adresáři aplikace [1].
Zranitelnost se nachází v produktu Docs@Work ve verzích <2.26.1.
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
Více informací:
- CVE-2024-37403 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-200: Exposure of Sensitive Information to an Unauthorized Actor at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 8. 2024.
Autentizovanému útočníkovi v lokální síti je umožněno vykonat libovolný kód [2].
Zranitelnost se nachází v produktu Ivanti Endpoint Manager
CVSS: CVSS:3.1/AV:A/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2024-37381 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 16. 7. 2024.