[TLP:CLEAR] Ivanti opravuje 2 vysoce závažné zranitelnosti v produktech Ivanti Connect Secure, Ivanti Policy Secure a Ivanti Neurons
Ivanti opravuje 2 vysoce závažné zranitelnosti nacházející se v produktech Ivanti Connect Secure, Ivanti Policy Secure a Ivanti Neurons pro ZTA. Opravy pro Ivanti Connect Secure byly vydány ve verzích 9.1R14.4, 9.1R17.2, 9.1R18.3, 22.4R2.2 a 22.5R1.1 a pro ZTA ve verzi 22.6R1.3. Očekává se, že další opravy budou vydávány postupně.[1]
Autentizovanému vzdálenému útočníkovi je umožněno zvýšit svá oprávnění na úroveň administrátora [1]. Dopad zranitelností lze zmírnit importem souboru mitigation.release.20240126.5.xml prostřednictvím portálu pro stahování [2], přičemž jeho vliv na funkčnost naleznete zde [3].
CVSS: CVSS:3.1/AV:A/AC:H/PR:H/UI:R/S:C/C:H/I:H/A:L
Více informací:
- CVE-2024-21888 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-269: Improper Privilege Management at cwe.mitre.org
Zranitelnost byla veřejně oznámena 22. 1. 2024.
Neautentizovanému vzdálenému útočníkovi je umožněn přístup k určitým zdrojům bez ověření [1]. Zranitelnost CVE-2024-21893 je již aktivně zneužívána a CISA ji zařadila do svého katalogu známých zneužívaných zranitelností [4]. Dopad zranitelností lze zmírnit importem souboru mitigation.release.20240126.5.xml prostřednictvím portálu pro stahování [2], přičemž jeho vliv na funkčnost naleznete zde [5].
Více informací:
- CVE-2024-21893 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-918: Server-Side Request Forgery (SSRF) at cwe.mitre.org
Zranitelnost byla veřejně oznámena 22. 1. 2024.
Odkazy
- [1] https://forums.ivanti.com/s/article/CVE-2024-21888-Privilege-Escalation-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure?language=en_US
- [2] https://forums.ivanti.com/s/product-downloads
- [3] https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US
- [4] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- [5] https://forums.ivanti.com/s/article/KB-CVE-2023-46805-Authentication-Bypass-CVE-2024-21887-Command-Injection-for-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Gateways?language=en_US