CRITICAL🇬🇧 English

CVE-2023-46216

Ivanti Avalanche — RCE/DoS przez korupcję pamięci w Mobile Device Server

CVSS 9.8v3.1pub. 2023-12-19upd. 2024-11-21

Podatność w komponencie Mobile Device Server produktu Ivanti Avalanche umożliwia zdalnemu atakującemu wywołanie korupcji pamięci poprzez wysłanie specjalnie spreparowanych pakietów danych. W wyniku exploitacji możliwe jest wykonanie dowolnego kodu lub odmowa usługi (DoS), bez konieczności uwierzytelnienia.

Pokaż oryginał (EN)

An attacker sending specially crafted data packets to the Mobile Device Server can cause memory corruption which could result to a Denial of Service (DoS) or code execution.

🤖 Analiza AI
Jak działa

Atakujący wysyła specjalnie spreparowane pakiety sieciowe do komponentu Mobile Device Server działającego w ramach Ivanti Avalanche. Nieprawidłowe przetwarzanie tych danych prowadzi do zapisu poza przydzielonym obszarem pamięci (CWE-787 — out-of-bounds write), co powoduje korupcję pamięci procesu. Taki stan może zostać wykorzystany do przejęcia kontroli nad przepływem wykonania programu (RCE) lub spowodowania jego awaryjnego zatrzymania (DoS).

Skutki

Atakujący może uzyskać pełną kontrolę nad serwerem poprzez zdalne wykonanie dowolnego kodu (RCE) lub doprowadzić do niedostępności usługi zarządzania urządzeniami mobilnymi (DoS). Atak nie wymaga uwierzytelnienia ani interakcji ze strony użytkownika.

Mitygacja

Należy zaktualizować Ivanti Avalanche do wersji 6.4.2 lub nowszej zgodnie z informacjami zawartymi w notach wydania producenta dostępnych pod adresem wskazanym w referencjach. Zaleca się również ograniczenie dostępu sieciowego do portu Mobile Device Server wyłącznie do zaufanych hostów za pomocą firewall.

Kogo dotyczy

Ivanti Avalanche — wersje poprzedzające 6.4.2 (zgodnie z referencjami producenta); środowisko Microsoft Windows jako platforma hostująca komponent Mobile Device Server

Uwagi

Podatność opublikowana 2023-12-19. Patch dostępny w wersji Ivanti Avalanche 6.4.2 zgodnie z oficjalnymi release notes producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Ivanti Avalanche

    APP
    Ivanti
    < 6.4.2
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEDoS
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit