[TLP:CLEAR] Ivanti opravuje 8 zraniteľností v rôznych produktoch

Ivanti opravuje 8 zraniteľností v produktoch Neurons for ITSM, Virtual Traffic Manager a Avalanche [4][5][6]. Zraniteľnosti v Neurons for ITSM boli opravené záplatou [4]. Produkty a ich opravené verzie: Ivanti Neurons for ITSM - 2023.4 w/ patch [7], 2023.3 w/ patch [8], 2023.2 w/ patch [9] Ivanti Virtual Traffic Manager - 22.2R1, 22.3R3, 22.3R3, 22.5R2, 22.6R2, 22.7R2 [5] Ivanti Avalanche - 6.4.4 [6]

Ivanti Avalanche - DoS (CVE-2024-38652) CVSS 8.2 (High)

Neautentizovanému vzdialenému útočníkovi je v Ivanti Avalanche umožnené vykonať DoS útok neoprávneným zmazaním kritických súborov zo systému [1].

Zraniteľnosť sa nachádza v produkte Ivanti Avalanche vo verziách <6.44.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 13. 8. 2024.

Ivanti Avalanche - RCE (CVE-2024-37373) CVSS 7.2 (High)

Autentizovanému vzdialenému útočníkovi s právami administrátora je v Ivanti Avalanche umožnené neoprávnene vykonávať kód [1].

Zraniteľnosť sa nachádza v produkte Ivanti Avalanche vo verziách <6.4.4.

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 13. 8. 2024.

Ivanti Avalanche - DoS (CVE-2024-37399) CVSS 7.5 (High)

Neautentizovanému vzdialenému útočníkovi je v Ivanti Avalanche umožnené vykonať DoS útok dereferenciou NULL ukazovateľa [2].

Zraniteľnosť sa nachádza v produkte Ivanti Avalanche vo verziách <6.44.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 13. 8. 2024.

Ivanti Avalanche - XXE (CVE-2024-38653) CVSS 8.2 (High)

Neautentizovanému vzdialenému útočníkovi je v Ivanti Avalanche umožnené vykonať XXE útok a pristupovať tak k ľubovolným súborom [1].

Zraniteľnosť sa nachádza v produkte Ivanti Avalanche vo verziách <6.44.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L

Viac informácií:

Zraniteľnosť bola verejne oznámená 13. 8. 2024.

Ivanti Avalanche - DoS (CVE-2024-36136) CVSS 7.5 (High)

Neautentizovanému vzdialenému útočníkovi je v Ivanti Avalanche umožnené vykonať DoS útok pretečením zásobníka [1].

Zraniteľnosť sa nachádza v produkte Ivanti Avalanche vo verziách <6.44.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 13. 8. 2024.

Ivanti Virtual Traffic Manager - authentication bypass (CVE-2024-7593) CVSS 9.8 (Critical)

Neautentizovanému vzdialenému útočníkovi je v Ivanti Virtual Traffic Manager umožnené obísť autentizáciu pri prístupe do panela administrátora [3].

Zraniteľnosť sa nachádza v produkte Ivanti Virtual Traffic Manager vo verziách (>=22.2 AND <22.2R1) OR (>=22.3 AND <22.3R3) OR (>=22.3R2 AND <22.3R3) OR (>=22.5R1 AND <22.5R2) OR (>=22.6R1 AND <22.6R2) OR (>=22.7R1 AND <22.7R2).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 12. 8. 2024.

Ivanti Neurons for ITSM - information leak (CVE-2024-7569) CVSS 9.6 (Critical)

Neautentizovanému vzdialenému útočníkovi je v Ivanti Neurons for ITSM umožnené získať OIDC tajomstvo pomocou nástroja na odstraňovanie chýb [10].

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 13. 8. 2024.

Ivanti Neurons for ITSM - access token craft (CVE-2024-7570) CVSS 8.3 (High)

Neautentizovanému vzdialenému útočníkovi je v Ivanti Neurons for ITSM umožnené vytvoriť prístupový token do systému a vydávať sa tak za akéhokoľvek používateľa [10].

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

Viac informácií:

Zraniteľnosť bola verejne oznámená 13. 8. 2024.


Publikoval Martin Krajči dňa 16. 8. 2024.

CESNET CERTS Logo