Vulnerabilidades Críticas Encontradas En Las Versiones De Ivanti Endpoint Manager

El proveedor de software IT Ivanti lanzó recientemente actualizaciones de seguridad para abordar múltiples vulnerabilidades en sus productos Avalanche, Application Control Engine y Endpoint Manager (EPM), que incluyeron cuatro vulnerabilidades críticas en EPM.

Las vulnerabilidades críticas, cada una con una puntuación de 9.8 en la escala CVSS, son problemas de recorrido de ruta en EPM que podrían permitir a atacantes remotos y no autenticados acceder a información sensible.

Las fallas afectadas incluyen:

• CVE-2024-10811

• CVE-2024-13159

• CVE-2024-13160

• CVE-2024-13161

Las vulnerabilidades que afectaron las versiones de EPM anteriores a la Actualización de Seguridad de Noviembre de 2024 o la Actualización de Seguridad de Noviembre de 2022 SU6 fueron abordadas en las actualizaciones de enero de 2025.

Zach Hanley, un investigador de seguridad de Horizon3.ai, es acreditado por identificar y reportar estos problemas.

Además, Ivanti corrigió varios problemas de alta severidad en Avalanche (versiones anteriores a 6.4.7) y Application Control Engine (versiones anteriores a 10.14.4.0).

Estas fallas podrían permitir a los atacantes eludir mecanismos de autenticación, acceder a datos sensibles o deshabilitar el bloqueo de aplicaciones.

Aunque Ivanti no ha encontrado evidencia de que estas vulnerabilidades hayan sido explotadas en el entorno, la compañía ha intensificado sus procesos internos, como escaneos y pruebas, para identificar y abordar riesgos potenciales de manera más eficiente.

Por separado, SAP ha lanzado parches críticos para su Servidor NetWeaver ABAP y Plataforma ABAP para corregir las vulnerabilidades CVE-2025-0070 y CVE-2025-0066, ambas con una puntuación de 9.9 en la escala CVSS.

Estas fallas podrían permitir a atacantes autenticados eludir verificaciones de autenticación, escalar privilegios y obtener acceso a información restringida.

Por separado, SAP ha implementado actualizaciones críticas para su Servidor NetWeaver ABAP y Plataforma ABAP, abordando las vulnerabilidades CVE-2025-0070 y CVE-2025-0066, ambas con una puntuación de 9.9 en la escala CVSS.

Estas fallas podrían permitir a atacantes autenticados eludir verificaciones de autenticación, escalar privilegios y obtener acceso a información restringida.

“SAP recomienda encarecidamente que el cliente visite el Portal de Soporte y aplique parches con prioridad para proteger su paisaje SAP”, dijo la compañía en su boletín de enero de 2025.