Zpětná vazba k reportu

Neautentizovanému vzdálenému útočníkovi je v produktu Ivanti EPM umožněno získat citlivé informace [1].

Zranitelnost se nachází v produktu Ivanti Endpoint Manager ve verzích (<=2024Novembersecurityupdate) OR (<=2022SU6Novembersecurityupdate).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

• CVE-2024-10811 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CVE-2024-13161 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CVE-2024-13160 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CVE-2024-13159 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-36: Absolute Path Traversal at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 1. 2025.

Neautentizovanému vzdálenému útočníkovi je v produktu Ivanti EPM, kvůli nesprávnému ověření podpisu, umožněno vykonat vzdálené spuštění kódu. Je nutná interakce s místním uživatelem [1].

Zranitelnost se nachází v produktu Ivanti Endpoint Manager ve verzích (<=2024Novembersecurityupdate) OR (<=2022SU6Novembersecurityupdate).

CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

• CVE-2024-13172 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CVE-2024-13171 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CVE-2024-13163 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-347: Improper Verification of Cryptographic Signature at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 1. 2025.

Autentizovanému lokálnímu útočníkovi je v produktu Ivanti EPM umožněno zvýšit svá oprávnění [1].

Zranitelnost se nachází v produktu Ivanti Endpoint Manager ve verzích (<=2024Novembersecurityupdate) OR (<=2022SU6Novembersecurityupdate).

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

• CVE-2024-13169 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-125: Out-of-bounds Read at cwe.mitre.org
• CWE-843: Access of Resource Using Incompatible Type ('Type Confusion') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 1. 2025.

Autentizovanému lokálnímu útočníkovi je v produktu Ivanti Application Control, kvůli chybě race condition, umožněno obejít funkce blokování aplikací [2].

Zranitelnost se nachází v produktech:

• Ivanti Application Control ve verzích (<=2024.3) OR (<=2024.1) OR (<=2023.3)
• Ivanti Security Controls ve verzích <=2024.4.1

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

• CVE-2024-10630 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-366: Race Condition within a Thread at cwe.mitre.org

Zranitelnost byla veřejně oznámena 14. 1. 2025.

Neautentizovanému vzdálenému útočníkovi je v produktu Ivanti Avalanche umožněno získat citlivé informace [3].

Zranitelnost se nachází v produktu Ivanti Avalanche ve verzích <=6.4.6.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Více informací:

• CVE-2024-13180 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 9. 1. 2025.

Neautentizovanému vzdálenému útočníkovi je v produktu Ivanti Avalanche umožněno obejít ověřování [3].

Zranitelnost se nachází v produktu Ivanti Avalanche ve verzích <=6.4.6.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

Více informací:

• CVE-2024-13181 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CVE-2024-13179 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') at cwe.mitre.org
• CWE-288: Authentication Bypass Using an Alternate Path or Channel at cwe.mitre.org

Zranitelnost byla veřejně oznámena 9. 1. 2025.