Vulnerabilità Critiche Trovate Nelle Versioni Di Ivanti Endpoint Manager

Il fornitore di software IT Ivanti ha recentemente rilasciato aggiornamenti di sicurezza per affrontare diverse vulnerabilità nei suoi prodotti Avalanche, Application Control Engine e Endpoint Manager (EPM), che includevano quattro vulnerabilità critiche in EPM.

Le vulnerabilità critiche, ciascuna con un punteggio di 9.8 sulla scala CVSS, sono problemi di traversamento di percorso in EPM che potrebbero consentire a attaccanti remoti e non autenticati di accedere a informazioni sensibili.

I difetti interessati includono:

• CVE-2024-10811

• CVE-2024-13159

• CVE-2024-13160

• CVE-2024-13161

Le vulnerabilità che hanno interessato le versioni di EPM prima dell’Aggiornamento di Sicurezza di Novembre 2024 o dell’Aggiornamento di Sicurezza SU6 di Novembre 2022 sono state affrontate negli aggiornamenti di Gennaio 2025.

Zach Hanley, un ricercatore di sicurezza di Horizon3.ai, è accreditato per aver identificato e segnalato questi problemi.

Inoltre, Ivanti ha corretto diversi problemi di alta gravità in Avalanche (versioni precedenti alla 6.4.7) e Application Control Engine (versioni precedenti alla 10.14.4.0).

Questi difetti potrebbero consentire agli attaccanti di eludere i meccanismi di autenticazione, accedere a dati sensibili o disabilitare il blocco delle applicazioni.

Sebbene Ivanti non abbia trovato prove che queste vulnerabilità siano state sfruttate nel mondo reale, l’azienda ha intensificato i suoi processi interni, come la scansione e il testing, per identificare e affrontare i potenziali rischi in modo più efficiente.

Separatamente, SAP ha rilasciato patch critiche per il suo NetWeaver ABAP Server e ABAP Platform per correggere le vulnerabilità CVE-2025-0070 e CVE-2025-0066, entrambe con un punteggio di 9.9 sulla scala CVSS.

Questi difetti potrebbero consentire agli attaccanti autenticati di eludere i controlli di autenticazione, elevare i privilegi e accedere a informazioni riservate.

Separatamente, SAP ha distribuito aggiornamenti critici per il suo NetWeaver ABAP Server e ABAP Platform, affrontando le vulnerabilità CVE-2025-0070 e CVE-2025-0066, entrambe con un punteggio di 9.9 sulla scala CVSS.

Questi difetti potrebbero consentire agli attaccanti autenticati di eludere i controlli di autenticazione, elevare i privilegi e accedere a informazioni riservate.

“SAP raccomanda vivamente ai clienti di visitare il Portale di Supporto e applicare le patch con priorità per proteggere il proprio paesaggio SAP,” ha dichiarato l’azienda nel suo bollettino di Gennaio 2025.