[TLP:CLEAR] Ivanti Endpoint Manager opravuje 6 zranitelností
Ivanti Endpoint Manager verzemi 2022 SU7 a 2024 SU1 opravuje 6 zranitelností [1].
Neautentizovanému vzdálenému útočníkovi je pomocí sociálního inženýrství umožněno vykonat útok reflected XSS a získat administrátorská oprávnění [1].
Zranitelnost se nachází v produktu Ivanti Endpoint Manager ve verzích (>=2022 AND <2022SU7) OR (>=2024 AND <2024SU1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:L/A:N
Více informací:
- CVE-2025-22466 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 4. 2025.
Autentizovanému lokálnímu útočníkovi je pomocí techniky DLL hijacking umožněno eskalovat svá oprávnění na System [1].
Zranitelnost se nachází v produktu Ivanti Endpoint Manager ve verzích (>=2022 AND <2022SU7) OR (>=2024 AND <2024SU1).
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-22458 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-427: Uncontrolled Search Path Element at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 4. 2025.
Vzdálenému autentizovanému útočníkovi s administrátorskými oprávněními je umožněno spustit kód [1].
Zranitelnost se nachází v produktu Ivanti Endpoint Manager ve verzích (>=2022 AND <2022SU7) OR (>=2024 AND <2024SU1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-22461 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-89: Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 4. 2025.
Neautentizovanému vzdálenému útočníkovi je za určitých podmínek pomocí sociálního inženýrství umožněno vykonat útok reflected XSS [1].
Zranitelnost se nachází v produktu Ivanti Endpoint Manager ve verzích (>=2022 AND <2022SU7) OR (>=2024 AND <2024SU1).
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Více informací:
- CVE-2025-22465 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 4. 2025.
Autentizovanému lokálnímu útočníkovi je kvůli nedostatečné validaci ukazatele umožněno zapisovat do paměti libovolná data a vykonat útok DoS [1].
Zranitelnost se nachází v produktu Ivanti Endpoint Manager ve verzích (>=2022 AND <2022SU7) OR (>=2024 AND <2024SU1).
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:H
Více informací:
- CVE-2025-22464 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-822: Untrusted Pointer Dereference at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 4. 2025.
Neautentizovanému vzdálenému útočníkovi v pozici man-in-the-middle (MITM) je kvůli nedostatečné validaci certifikátu umožněno zachytit omezenou část komunikace mezi klientem a serverem [1].
Zranitelnost se nachází v produktu Ivanti Endpoint Manager ve verzích (>=2022 AND <2022SU7) OR (>=2024 AND <2024SU1).
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
Více informací:
- CVE-2025-22459 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-296: Improper Following of a Certificate's Chain of Trust at cwe.mitre.org
Zranitelnost byla veřejně oznámena 8. 4. 2025.
Odkazy
Za CESNET-CERTS Michaela Ručková dne 11. 4. 2025.
