Ivanti’nin var yuvarlandı Bilgilerin açığa çıkmasına yol açabilecek dört kritik hata da dahil olmak üzere Avalanche, Uygulama Kontrol Motoru ve Uç Nokta Yöneticisini (EPM) etkileyen çeşitli güvenlik kusurlarını gideren güvenlik güncellemeleri.
CVSS ölçeğinde 10,0 üzerinden 9,8 olarak derecelendirilen dört kritik güvenlik açığının tamamı EPM’den kaynaklanmaktadır ve kimliği doğrulanmamış uzak bir saldırganın hassas bilgileri sızdırmasına olanak tanıyan mutlak yol geçişi örnekleriyle ilgilidir. Kusurlar aşağıda listelenmiştir –
- CVE-2024-10811
- CVE-2024-13161
- CVE-2024-13160 ve
- CVE-2024-13159
Eksiklikler, EPM’nin 2024 Kasım güvenlik güncelleştirmesi ve önceki sürümleri ile 2022 SU6 Kasım güvenlik güncelleştirmesi ve önceki sürümlerini etkiliyor. Bu sorunlar, EPM 2024 Ocak-2025 Güvenlik Güncellemesi ve EPM 2022 SU6 Ocak-2025 Güvenlik Güncellemesi’nde ele alınmıştır.
Horizon3.ai güvenlik araştırmacısı Zach Hanley, söz konusu dört güvenlik açığının tamamını keşfedip rapor etme konusunda itibar kazandı.
Ivanti tarafından ayrıca, 6.4.7’den önceki Avalanche sürümlerinde ve 10.14.4.0 sürümünden önceki Uygulama Kontrol Motorunda, bir saldırganın kimlik doğrulamasını atlamasına, hassas bilgileri sızdırmasına ve uygulama engelleme işlevini aşmasına izin verebilecek çok sayıda yüksek önem dereceli hata da yamalanmıştır.
Şirket, kusurlardan herhangi birinin kullanımda olduğuna dair hiçbir kanıt bulunmadığını ve güvenlik sorunlarını derhal işaretleyip ele almak için dahili tarama ve test prosedürlerini yoğunlaştırdığını söyledi.
Bu gelişme, SAP’nin NetWeaver ABAP Sunucusu ve ABAP Platformunda (CVE-2025-0070 ve CVE-2025-0066, CVSS puanları: 9,9) kimliği doğrulanmış bir saldırganın uygunsuz kimlik doğrulama kontrollerinden yararlanmasına olanak tanıyan iki kritik güvenlik açığını çözmek için düzeltmeler yayınlamasıyla birlikte geliyor. zayıf erişim kontrolleri nedeniyle ayrıcalıkları yükseltmek ve kısıtlı bilgilere erişmek için.
“SAP, müşterinin şu adresi ziyaret etmesini önemle önerir: Destek Portalı ve SAP ortamlarını korumak için yamaları öncelikli olarak uyguluyor” dedi. söz konusu Ocak 2025 bülteninde.
