[TLP:CLEAR] Ivanti opravuje 2 vysoce závažné zranitelnosti v produktech Ivanti Connect Secure, Ivanti Policy Secure a Ivanti Neurons

Ivanti opravuje 2 vysoce závažné zranitelnosti nacházející se v produktech Ivanti Connect Secure, Ivanti Policy Secure a Ivanti Neurons pro ZTA. Opravy pro Ivanti Connect Secure byly vydány ve verzích 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 a 22.5R1.1 a pro ZTA ve verzi 22.6R1.3. Očekává se, že další opravy budou vydávány postupně.[1]

Ivanti - privilege escalation (CVE-2024-21888) CVSS 8.8 (High)

Autentizovanému vzdálenému útočníkovi je umožněno zvýšit svá oprávnění na úroveň administrátora [1]. Dopad zranitelností lze zmírnit importem souboru mitigation.release.20240126.5.xml prostřednictvím portálu pro stahování [2], přičemž jeho vliv na funkčnost naleznete zde [3].

CVSS: CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:L

Více informací:

Zranitelnost byla veřejně oznámena 22. 1. 2024.

Ivanti - Server-side request forgery (CVE-2024-21893) CVSS 8.2 (High)

Neautentizovanému vzdálenému útočníkovi je umožněn přístup k určitým zdrojům bez ověření [1]. Zranitelnost CVE-2024-21893 je již aktivně zneužívána a CISA ji zařadila do svého katalogu známých zneužívaných zranitelností [4]. Dopad zranitelností lze zmírnit importem souboru mitigation.release.20240126.5.xml prostřednictvím portálu pro stahování [2], přičemž jeho vliv na funkčnost naleznete zde [5].

Více informací:

Zranitelnost byla veřejně oznámena 22. 1. 2024.


Publikovala Michaela Mačalíková dne 27. 2. 2024.

CESNET CERTS Logo