CRITICAL✓ PATCH🇬🇧 English

CVE-2024-10811

Absolute Path Traversal w Ivanti Endpoint Manager — wyciek danych bez uwierzytelnienia

CVSS 9.8v3.1pub. 2025-01-14upd. 2025-06-17

Podatność typu absolute path traversal w Ivanti Endpoint Manager (EPM) umożliwia zdalnemu, nieuwierzytelnionemu atakującemu pozyskanie wrażliwych informacji z systemu. Krytyczny wynik CVSS (9.8) wynika z braku wymogu uwierzytelnienia i dostępności ataku przez sieć.

Pokaż oryginał (EN)

Absolute path traversal in Ivanti EPM before the 2024 January-2025 Security Update and 2022 SU6 January-2025 Security Update allows a remote unauthenticated attacker to leak sensitive information.

🤖 Analiza AI
Jak działa

Błąd polega na niewłaściwej walidacji ścieżek do plików (CWE-36, CWE-22) — atakujący może podać absolutną ścieżkę do pliku na serwerze, omijając ograniczenia katalogu roboczego aplikacji. Żądanie jest realizowane bez jakiegokolwiek uwierzytelnienia, co sprawia, że atak jest dostępny dla każdego, kto ma połączenie sieciowe z serwerem EPM. W efekcie możliwe jest odczytywanie plików spoza przeznaczonych katalogów aplikacji.

Skutki

Atakujący może ujawnić wrażliwe informacje przechowywane na serwerze, takie jak dane konfiguracyjne, dane uwierzytelniające lub inne pliki systemowe dostępne procesowi serwera.

Mitygacja

Należy zaktualizować Ivanti EPM do wersji zawierającej aktualizację zabezpieczeń January-2025 (dla linii EPM 2024 lub EPM 2022 SU6). Szczegółowe instrukcje dostępne są w oficjalnym komunikacie producenta pod adresem forums.ivanti.com. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do serwera EPM wyłącznie do zaufanych hostów.

Kogo dotyczy

Ivanti Endpoint Manager (EPM) w wersjach przed aktualizacją zabezpieczeń January-2025 dla EPM 2024 oraz przed aktualizacją zabezpieczeń January-2025 dla EPM 2022 SU6.

Uwagi

Producent opublikował poprawkę 14 stycznia 2025 roku. Podatność jest częścią szerszego zestawu błędów w Ivanti EPM opisanych w biuletynie January-2025 Security Update.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Ivanti Endpoint Manager

    APP
    Ivanti
    20222024< 2022
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Path TraversalAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-13159CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Absolute Path Traversal w Ivanti EPM — wyciek danych bez uwierzytelnienia

CVE-2024-13161CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Absolute Path Traversal w Ivanti EPM — wyciek wrażliwych danych bez uwierzytelnienia

CVE-2024-13160CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Absolute Path Traversal w Ivanti EPM — wyciek wrażliwych danych bez uwierzytelnienia

CVE-2025-10573CRITICAL9.6PL ✓ten sam produkt

Stored XSS w Ivanti Endpoint Manager umożliwiający przejęcie sesji admina

CVE-2024-50330CRITICAL9.8PL ✓ten sam produkt

SQL Injection w Ivanti Endpoint Manager umożliwiający RCE bez uwierzytelnienia