[TLP:CLEAR] Ivanti opravuje 5 vysoce závažných zranitelností
Ivanti verzí 6.4.5 opravuje 5 vysoce závažných zranitelností v produktu Avalanche [1].
Neautentizovanému vzdálenému útočníkovi je prostřednictvím zranitelnosti typu SSRF (server-side request forgery) umožněno získat přístup k potenciálně citlivým informacím [1][2].
Zranitelnost se nachází v produktu Ivanti Avalanche ve verzích <=6.4.2.313.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2024-47008 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 10. 2024.
Neautenizovanému vzdálenému útočníkovi je umožněno přistupovat k souborům nebo adresářům mimo omezenou oblast aplikace, což může vést k úniku potenciálně citlivých informací [1][3][4].
Zranitelnost se nachází v produktu Ivanti Avalanche ve verzích <=6.4.2.313.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2024-47011 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 10. 2024.
Neautentizovanému vzdálenému útočníkovi je skrze dereferenci nulového ukazatele v souboru WLAvalancheService.exe umožněno vykonat DoS útok [1][5].
Zranitelnost se nachází v produktu Ivanti Avalanche ve verzích <=6.4.2.313.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2024-47007 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-476: NULL Pointer Dereference at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 10. 2024.
Neautentizovanému vzdálenému útočníkovi je umožněno přistupovat k souborům nebo adresářům mimo omezenou oblast aplikace a obejít autentizaci [1][6][7].
Zranitelnost se nachází v produktu Ivanti Avalanche ve verzích <=6.4.2.313.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Více informací:
- CVE-2024-47009 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2024-47010 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
- CWE-288: Authentication Bypass Using an Alternate Path or Channel at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 10. 2024.
Odkazy
- [1] https://forums.ivanti.com/s/article/Ivanti-Avalanche-6-4-5-Security-Advisory?language=en_US
- [2] https://nvd.nist.gov/vuln/detail/CVE-2024-47008
- [3] https://nvd.nist.gov/vuln/detail/CVE-2024-47011
- [4] https://vuldb.com/?id.279640
- [5] https://nvd.nist.gov/vuln/detail/CVE-2024-47007
- [6] https://nvd.nist.gov/vuln/detail/CVE-2024-47009
- [7] https://nvd.nist.gov/vuln/detail/CVE-2024-47010