Tájékoztatás Ivanti szoftvertermékek sérülékenységeiről


2024. november 15. 12:08

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) tájékoztatót ad ki Ivanti Endpoint Manager (EPM), Ivanti Avalanche, Ivanti Connect Secure, Ivanti Policy Secure, és Ivanti Security Access Client szoftvertermékeket érintő, kritikus kockázati besorolású sérülékenységekről, azok súlyossága és kihasználhatósága miatt.

Az Ivanti Endpoint Managert (EPM) több magas és egy kritikus kockázati besorolású sérülékenység érinti (CVE-2024-50330), amely SQL injection támadás során kihasználható távoli kódfuttatásra.

Termék: Érintett verziók: Javított verziók Patch elérése:
Ivanti Endpoint Manager (EPM) 2024 September security update és korábbi verziók,

2022 SU6 és korábbi verziók

 2024 November Security Update, 2022 SU6 November Security Update EPM 2024 November Patch

EPM 2022 SU6 November Patch

A gyártói biztonsági közlemény itt érhető el: https://forums.ivanti.com/s/article/Security-Advisory-EPM-November-2024-for-EPM-2024-and-EPM-2022?language=en_US

Az  Ivanti Avalanche kapcsán öt magas kockázati besorolású sebezhetőség került javításra, amelyek Denial-of-Service támadásra használhatók fel.

Termék: Érintett verziók: Javított verzió: Patch elérése:
Ivanti Avalanche 6.4.5 és korábbi verziók 6.4.6 Download Portal

A gyártói biztonsági közlemény itt érhető el: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Avalanche-Multiple-CVEs-Q4-2024-Release?language=en_US

Az  Ivanti Connect Secure (ICS), Ivanti Policy Secure (IPS), Ivanti Secure Access Client (ISAC) szoftvertermékek esetében több kritikus kockázati besorolású sebezhetőség autentikált támadó számára távoli kódfutattást tehet lehetővé, egyes magas és közepes kockázati besorolású biztonsági hibák sikeres kihazsnálás esetén és Denial-of-Service kondíciót eredményezhetnek.

Termék: Érintett verziók: Javított verzió: Patch elérése:
Ivanti Connect Secure (ICS) 22.7R2.2 and prior 22.7R2.3 Ivanti Portal
Ivanti Policy Secure (IPS) 22.7R1.1 and prior 22.7R1.2 Ivanti Portal
Ivanti Secure Access Client (ISAC) 22.7R3 and prior 22.7R4 Ivanti Portal

A gyártói biztonsági közlemény itt érhető el: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Avalanche-Multiple-CVEs-Q4-2024-Release?language=en_US

 Az NBSZ NKI a gyártó által kiadott biztonsági frissítések haladéktalan telepítését javasolja.

 Hivatkozások:

Letöltés:
  Tajekoztato_11_15_Ivanti.pdf

Legfrissebb sérülékenységek
CVE-2026-1281 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenység
CVE-2026-24858 – Fortinet Multiple Products Authentication Bypass Using an Alternate Path or Channel sérülékenység
CVE-2026-1448 – D-Link sérülékenysége
CVE-2026-23745 – “node-tar” Library Path Traversal sérülékenység
CVE-2026-21509 – Microsoft Office Security Feature Bypass sérülékenység
CVE-2026-24061 – GNU InetUtils Argument Injection sérülékenység
CVE-2026-23760 – SmarterTools SmarterMail Authentication Bypass Using an Alternate Path or Channel sérülékenység
CVE-2025-52691 – SmarterTools SmarterMail Unrestricted Upload of File with Dangerous Type sérülékenység
CVE-2018-14634 – Linux Kernel Integer Overflow sérülékenység
CVE-2025-54313 – Prettier eslint-config-prettier Embedded Malicious Code sérülékenység
Tovább a sérülékenységekhez »