Ivanti Avalanche 6.4.3 opravuje 27 zranitelností, z toho 2 kritické

[TLP:CLEAR] Ivanti Avalanche 6.4.3 opravuje 27 zranitelností, z toho 2 kritické

Ivanti Avalanche verzí 6.4.3 opravuje 27 zranitelností, z toho dvě kritické. Dalších 25 zranitelností má střední až vysokou závažnost a mohou vést k odepření služby, neoprávněnému spuštění příkazu jako SYSTEM a vyzrazení citlivých informací [1].

Ivanti Avalanche (CVE-2024-24996) CVSS 9.8 (Critical)

Neautentizovanému vzdálenému útočníkovi je kvůli chybě přetečení haldy v komponentě WLInfoRailService umožněno spouštět libovolné příkazy na postiženém systému bez interakce uživatele [1].

Zranitelnost se nachází v produktu Ivanti Avalanche ve verzích <6.4.3.

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

CVE-2024-24996 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-122: Heap-based Buffer Overflow at cwe.mitre.org

Zranitelnost byla veřejně oznámena 17. 4. 2024.

Ivanti Avalanche (CVE-2024-29204) CVSS 9.8 (Critical)

Neautentizovanému vzdálenému útočníkovi je kvůli chybě přetečení haldy v komponentě WLAvalancheService umožněno spouštět libovolné příkazy na postiženém systému bez interakce uživatele [1].

Zranitelnost se nachází v produktu Ivanti Avalanche ve verzích <6.4.3.

Více informací:

CVE-2024-29204 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-122: Heap-based Buffer Overflow at cwe.mitre.org

Zranitelnost byla veřejně oznámena 17. 4. 2024.

Odkazy

[1] https://forums.ivanti.com/s/article/Avalanche-6-4-3-Security-Hardening-and-CVEs-addressed?language=en_US

Publikovala Michaela Mačalíková dne 18. 4. 2024.