[TLP:CLEAR] Ivanti opravuje 5 vysoce závažných zranitelností

Ivanti verzí 6.4.5 opravuje 5 vysoce závažných zranitelností v produktu Avalanche [1].

Ivanti Avalanche - sensitive information leakage (CVE-2024-47008) CVSS 7.5 (High)

Neautentizovanému vzdálenému útočníkovi je prostřednictvím zranitelnosti typu SSRF (server-side request forgery) umožněno získat přístup k potenciálně citlivým informacím [1][2].

Zranitelnost se nachází v produktu Ivanti Avalanche ve verzích <=6.4.2.313.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Více informací:

Zranitelnost byla veřejně oznámena 8. 10. 2024.

Ivanti Avalanche - sensitive information leakage (CVE-2024-47011) CVSS 7.5 (High)

Neautenizovanému vzdálenému útočníkovi je umožněno přistupovat k souborům nebo adresářům mimo omezenou oblast aplikace, což může vést k úniku potenciálně citlivých informací [1][3][4].

Zranitelnost se nachází v produktu Ivanti Avalanche ve verzích <=6.4.2.313.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Více informací:

Zranitelnost byla veřejně oznámena 8. 10. 2024.

Ivanti Avalanche - denial of service (CVE-2024-47007) CVSS 7.5 (High)

Neautentizovanému vzdálenému útočníkovi je skrze dereferenci nulového ukazatele v souboru WLAvalancheService.exe umožněno vykonat DoS útok [1][5].

Zranitelnost se nachází v produktu Ivanti Avalanche ve verzích <=6.4.2.313.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Více informací:

Zranitelnost byla veřejně oznámena 8. 10. 2024.

Ivanti Avalanche - authentication bypass (CVE-2024-47009, CVE-2024-47010) CVSS 7.3 (High)

Neautentizovanému vzdálenému útočníkovi je umožněno přistupovat k souborům nebo adresářům mimo omezenou oblast aplikace a obejít autentizaci [1][6][7].

Zranitelnost se nachází v produktu Ivanti Avalanche ve verzích <=6.4.2.313.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Více informací:

Zranitelnost byla veřejně oznámena 8. 10. 2024.


Publikovala Michaela Ručková dne 15. 10. 2024.

CESNET CERTS Logo