[TLP:CLEAR] Ivanti opravuje zranitelnosti v EPM a CSA
Ivanti opravuje několik zranitelností v produktu Ivanti Endpoint Manager [1] a jednu zranitelnost (CVE-2024-8190) v produktu Ivanti Cloud Service Appliance [2]. Produkty a jejich opravy: Ivanti Endpoint Manager - 2022 SU6, 2024 s bezpečnostní záplatou (potřebné aplikovat záplatu z července i září), 2024 SU1 (bude vydána) [1] Ivanti Cloud Services Appliance - CSA 5.0 (doporučeno), CSA 4.6 Patch 519 [2]
Neautentizovanému vzdálenému útočníkovi je prostřednictvím External XML Entity (XXE) zranitelnosti umožněno způsobit únik tajemství API [1].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N
Více informací:
- CVE-2024-37397 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-611: Improper Restriction of XML External Entity Reference at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 9. 2024.
Neautentizovanému lokálnímu útočníkovi je kvůli SQL injection zranitelnosti v konzoli pro správu umožněno vykonat vzdálené spuštění kódu [1].
CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-8191 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 9. 2024.
Autentizovanému vzdálenému útočníkovi s právy správce je umožněno vykonat vzdálené spuštění kódu [1].
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-32840 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-32842 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-32843 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-32845 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-32846 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-32848 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-34779 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-34783 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-34785 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 9. 2024.
Neautentizovanému vzdálenému útočníkovi je kvůli chybějící autentizaci v "Network Isolation" umožněno podvrhnout stav u spravovaných zařízení [1].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
Více informací:
- CVE-2024-8320 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-306: Missing Authentication for Critical Function at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 9. 2024.
Neautentizovanému vzdálenému útočníkovi je umožněno izolovat spravovaná zařízení od sítě [1].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L
Více informací:
- CVE-2024-8321 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-306: Missing Authentication for Critical Function at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 9. 2024.
Autentizovanému vzdálenému útočníkovi je kvůli slabé autentizaci v "Patch Management" umožněno přistupovat k vyhrazeným funkcím [1].
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N
Více informací:
- CVE-2024-8322 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-1390: Weak Authentication at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 9. 2024.
Neautentizovanému vzdálenému útočníkovi je kvůli deserializaci nedůvěryhodných dat na portálu agenta umožněno vykonat vzdálené spuštění kódu [1].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-29847 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-502: Deserialization of Untrusted Data at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 9. 2024.
Autentizovanému lokálnímu útočníkovi s právy správce je kvůli chybějící kontrole cesty vyhledávání umožněno zvýšit svá oprávnění na úroveň SYSTEM [1].
CVSS: CVSS:3.1/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-8441 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-427: Uncontrolled Search Path Element at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 9. 2024.
Autentizovanému vzdálenému útočníkovi s právy správce je kvůli OS command injection zranitelnosti umožněno vykonat vzdálené spuštění kódu [2].
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2024-8190 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 10. 9. 2024.