Ivanti 推出了安全更新,以解决影响 Avalanche、应用控制引擎和端点管理器 (EPM) 的若干安全漏洞,其中包括可能导致信息泄露的四个关键漏洞。
所有四个关键安全漏洞(CVSS 评级为 9.8 分(满分 10.0))都源于 EPM,涉及绝对路径遍历实例,允许未经认证的远程攻击者泄漏敏感信息。这些漏洞如下
- CVE-2024-10811
- CVE-2024-13161
- CVE-2024-13160 和
- CVE-2024-13159
这些缺陷影响 EPM 2024 11 月安全更新及以前的版本,以及 2022 SU6 11 月安全更新及以前的版本。这些问题已在 EPM 2024 年 1 月至 2025 年 1 月安全更新和 EPM 2022 SU6 年 1 月至 2025 年 1 月安全更新中得到解决。
Horizon3.ai 安全研究员 Zach Hanley 发现并报告了所有四个相关漏洞。
Ivanti 还修补了 Avalanche 6.4.7 之前版本和 Application Control Engine 10.14.4.0 之前版本中的多个高严重性漏洞,这些漏洞可能允许攻击者绕过身份验证、泄漏敏感信息和绕过应用程序阻止功能。
该公司表示,没有证据表明这些漏洞正在被恶意利用,而且已经加强了内部扫描和测试程序,以便及时发现并解决安全问题。
SAP在发布修补程序以解决其NetWeaver ABAP服务器和ABAP平台中的两个关键漏洞(CVE-2025-0070和CVE-2025-0066,CVSS分数:9.9)的同时,也发布了这一进展。
SAP 公司在 2025 年 1 月发布的公告中说:“SAP 强烈建议客户访问支持门户网站并优先应用补丁程序,以保护其 SAP 环境。”
发表评论
您还未登录,请先登录。
登录