Vulnérabilités critiques trouvées dans les versions d'Ivanti Endpoint Manager

Le fournisseur de logiciels IT Ivanti a récemment publié des mises à jour de sécurité pour corriger plusieurs vulnérabilités dans ses produits Avalanche, Application Control Engine et Endpoint Manager (EPM), qui comprenaient quatre vulnérabilités critiques dans EPM.

Les vulnérabilités critiques, chacune notée 9.8 sur l’échelle CVSS, sont des problèmes de traversée de chemin dans EPM qui pourraient permettre à des attaquants distants et non authentifiés d’accéder à des informations sensibles.

Les défauts affectés incluent :

• CVE-2024-10811

• CVE-2024-13159

• CVE-2024-13160

• CVE-2024-13161

Les vulnérabilités qui ont affecté les versions d’EPM avant la mise à jour de sécurité de novembre 2024 ou la mise à jour de sécurité SU6 de novembre 2022 ont été corrigées dans les mises à jour de janvier 2025.

Zach Hanley, un chercheur en sécurité de Horizon3.ai, est crédité pour avoir identifié et signalé ces problèmes.

De plus, Ivanti a corrigé plusieurs problèmes de haute gravité dans Avalanche (versions avant 6.4.7) et Application Control Engine (versions avant 10.14.4.0).

Ces défauts pourraient permettre aux attaquants de contourner les mécanismes d’authentification, d’accéder à des données sensibles ou de désactiver le blocage des applications.

Bien qu’Ivanti n’ait trouvé aucune preuve que ces vulnérabilités aient été exploitées dans la nature, la société a intensifié ses processus internes, tels que le scan et les tests, pour identifier et traiter les risques potentiels plus efficacement.

Séparément, SAP a publié des correctifs critiques pour son serveur NetWeaver ABAP et sa plateforme ABAP pour corriger les vulnérabilités CVE-2025-0070 et CVE-2025-0066, qui ont toutes deux obtenu un score de 9.9 sur l’échelle CVSS.

Ces défauts pourraient permettre à des attaquants authentifiés de contourner les vérifications d’authentification, d’escalader les privilèges et d’accéder à des informations restreintes.

Séparément, SAP a déployé des mises à jour critiques pour son serveur NetWeaver ABAP et sa plateforme ABAP, corrigeant les vulnérabilités CVE-2025-0070 et CVE-2025-0066, qui ont toutes deux obtenu un score de 9.9 sur l’échelle CVSS.

Ces défauts pourraient permettre à des attaquants authentifiés de contourner les vérifications d’authentification, d’escalader les privilèges et d’accéder à des informations restreintes.

« SAP recommande fortement aux clients de visiter le portail de support et d’appliquer les correctifs en priorité pour protéger leur paysage SAP », a déclaré la société dans son bulletin de janvier 2025.