Podatność typu absolute path traversal w Ivanti Endpoint Manager (EPM) umożliwia zdalnemu, nieuwierzytelnionemu atakującemu uzyskanie dostępu do wrażliwych informacji. Podatność jest aktywnie eksploitowana i sklasyfikowana jako krytyczna (CVSS 9.8).
▸ Pokaż oryginał (EN)
Absolute path traversal in Ivanti EPM before the 2024 January-2025 Security Update and 2022 SU6 January-2025 Security Update allows a remote unauthenticated attacker to leak sensitive information.
Błąd wynika z niewłaściwej obsługi bezwzględnych ścieżek plików (CWE-36 — absolute path traversal), co pozwala atakującemu na wyjście poza dozwolony katalog i odczyt dowolnych plików w systemie. Atak nie wymaga żadnego uwierzytelnienia ani interakcji ze strony użytkownika, a dostęp odbywa się zdalnie przez sieć. Dzięki temu atakujący może odczytywać pliki systemowe lub konfiguracyjne zawierające wrażliwe dane, takie jak dane uwierzytelniające.
Atakujący może uzyskać dostęp do wrażliwych informacji przechowywanych w systemie, w tym potencjalnie danych uwierzytelniających, co może prowadzić do dalszego kompromitowania środowiska.
Należy pilnie zaktualizować Ivanti EPM do wersji objętej aktualizacją bezpieczeństwa z stycznia 2025 roku: dla linii EPM 2024 — January-2025 Security Update, dla linii EPM 2022 — SU6 January-2025 Security Update. Szczegóły dostępne w komunikacie producenta pod adresem: https://forums.ivanti.com/s/article/Security-Advisory-EPM-January-2025-for-EPM-2024-and-EPM-2022-SU6
Ivanti Endpoint Manager (EPM) w wersjach wcześniejszych niż 2024 January-2025 Security Update oraz wcześniejszych niż 2022 SU6 January-2025 Security Update.
Podatność znajduje się w katalogu CISA KEV (Known Exploited Vulnerabilities), co potwierdza aktywne wykorzystywanie jej w środowiskach produkcyjnych. Organizacja Horizon3.ai opublikowała analizę badawczą dotyczącą podatności na wymuszenie ujawnienia poświadczeń w Ivanti EPM, powiązaną z tą podatnością.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HIvanti Endpoint Manager
APPIvanti20222024< 2022
CISA KEV — szczegółyi
- Dostawcai
- Ivanti ↗
- Produkti
- Endpoint Manager (EPM)
- Data dodania do KEVi
- 10 marca 2025
- Termin remediation (USA)i
- 31 marca 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Ivanti Endpoint Manager (EPM) zawiera lukę typu absolute path traversal, która umożliwia zdalnym nieuwierzytelnionym atakującym ujawnienie poufnych informacji.
▸ Pokaż oryginał (EN)
Ivanti Endpoint Manager (EPM) contains an absolute path traversal vulnerability that allows a remote unauthenticated attacker to leak sensitive information.
Powiązane podatności
Absolute Path Traversal w Ivanti EPM — wyciek wrażliwych danych bez uwierzytelnienia
Absolute Path Traversal w Ivanti EPM — wyciek wrażliwych danych bez uwierzytelnienia
Stored XSS w Ivanti Endpoint Manager umożliwiający przejęcie sesji admina
Absolute Path Traversal w Ivanti Endpoint Manager — wyciek danych bez uwierzytelnienia
SQL Injection w Ivanti Endpoint Manager umożliwiający RCE bez uwierzytelnienia