Podatność typu absolute path traversal w Ivanti Endpoint Manager (EPM) umożliwia zdalnemu, nieuwierzytelnionemu atakującemu uzyskanie dostępu do wrażliwych informacji z systemu. Krytyczny poziom CVSS 9.8 oraz aktywne wykorzystanie w środowiskach produkcyjnych czynią tę lukę natychmiastowym zagrożeniem.
▸ Pokaż oryginał (EN)
Absolute path traversal in Ivanti EPM before the 2024 January-2025 Security Update and 2022 SU6 January-2025 Security Update allows a remote unauthenticated attacker to leak sensitive information.
Błąd sklasyfikowany jako CWE-36 (absolute path traversal) polega na tym, że aplikacja nie waliduje właściwie ścieżek dostępu do plików, akceptując absolutne ścieżki dostarczone przez atakującego. Atakujący, nie posiadając żadnego uwierzytelnienia, może wysłać specjalnie spreparowane żądanie sieciowe zawierające absolutną ścieżkę do dowolnego pliku na serwerze. W efekcie serwer zwraca zawartość wskazanego pliku, wychodząc poza dozwolony obszar katalogu aplikacji.
Atakujący może zdalnie i bez uwierzytelnienia odczytywać wrażliwe pliki z serwera, w tym potencjalnie dane uwierzytelniające, pliki konfiguracyjne lub inne informacje krytyczne dla bezpieczeństwa infrastruktury.
Należy niezwłocznie zaktualizować Ivanti EPM do wersji z aktualizacją zabezpieczeń January-2025 Security Update (dla EPM 2024) lub EPM 2022 SU6 January-2025 Security Update (dla EPM 2022 SU6). Szczegóły dostępne w oficjalnym biuletynie bezpieczeństwa Ivanti pod adresem wskazanym w referencjach.
Ivanti Endpoint Manager (EPM) w wersjach wcześniejszych niż aktualizacja zabezpieczeń z stycznia 2025 dla EPM 2024 oraz wcześniejszych niż EPM 2022 SU6 z aktualizacją zabezpieczeń z stycznia 2025.
Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities, co potwierdza aktywne wykorzystanie w środowiskach produkcyjnych. Ivanti opublikował zbiorczą aktualizację bezpieczeństwa EPM z datą styczeń 2025, obejmującą tę oraz inne powiązane podatności.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HIvanti Endpoint Manager
APPIvanti20222024< 2022
CISA KEV — szczegółyi
- Dostawcai
- Ivanti ↗
- Produkti
- Endpoint Manager (EPM)
- Data dodania do KEVi
- 10 marca 2025
- Termin remediation (USA)i
- 31 marca 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań korzystania z produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Ivanti Endpoint Manager (EPM) zawiera lukę path traversal umożliwiającą zdalnym nieuwierzytelnionym atakującym wyciek poufnych informacji.
▸ Pokaż oryginał (EN)
Ivanti Endpoint Manager (EPM) contains an absolute path traversal vulnerability that allows a remote unauthenticated attacker to leak sensitive information.
Powiązane podatności
Absolute Path Traversal w Ivanti EPM — wyciek danych bez uwierzytelnienia
Absolute Path Traversal w Ivanti EPM — wyciek wrażliwych danych bez uwierzytelnienia
Stored XSS w Ivanti Endpoint Manager umożliwiający przejęcie sesji admina
Absolute Path Traversal w Ivanti Endpoint Manager — wyciek danych bez uwierzytelnienia
SQL Injection w Ivanti Endpoint Manager umożliwiający RCE bez uwierzytelnienia