CRITICAL✓ PATCH🇬🇧 English

CVE-2024-50330

SQL Injection w Ivanti Endpoint Manager umożliwiający RCE bez uwierzytelnienia

CVSS 9.8v3.1pub. 2024-11-12upd. 2025-04-23

Krytyczna podatność SQL injection w Ivanti Endpoint Manager pozwala zdalnemu, nieuwierzytelnionemu atakującemu na wykonanie dowolnego kodu na serwerze. Brak wymogu jakiegokolwiek uwierzytelnienia czyni tę lukę szczególnie niebezpieczną dla organizacji korzystających z tego rozwiązania.

Pokaż oryginał (EN)

SQL injection in Ivanti Endpoint Manager before 2024 November Security Update or 2022 SU6 November Security Update allows a remote unauthenticated attacker to achieve remote code execution.

🤖 Analiza AI
Jak działa

Atakujący wysyła spreparowane żądanie sieciowe zawierające złośliwy payload SQL do podatnego endpointu Ivanti Endpoint Manager, nie wymagając przy tym żadnych poświadczeń. Podatność wynika z niewystarczającej walidacji lub sanityzacji danych wejściowych przekazywanych do zapytań SQL (CWE-89). Skuteczne wykorzystanie luki pozwala na wykonanie poleceń systemowych w kontekście serwera bazodanowego lub aplikacji, co prowadzi do pełnego remote code execution.

Skutki

Atakujący może uzyskać pełną kontrolę nad systemem, na którym działa Ivanti Endpoint Manager, włącznie z możliwością odczytu, modyfikacji lub usunięcia danych oraz wykonania dowolnych poleceń systemowych. Kompromitacja systemu zarządzania endpoint może skutkować lateral movement w całej infrastrukturze organizacji.

Mitygacja

Należy niezwłocznie zaktualizować Ivanti Endpoint Manager do wersji EPM 2024 November Security Update lub EPM 2022 SU6 November Security Update. Szczegóły dostępne w biuletynie bezpieczeństwa producenta: https://forums.ivanti.com/s/article/Security-Advisory-EPM-November-2024-for-EPM-2024-and-EPM-2022

Kogo dotyczy

Ivanti Endpoint Manager w wersjach przed aktualizacją zabezpieczeń z listopada 2024 (EPM 2024 November Security Update) oraz przed EPM 2022 SU6 November Security Update

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Ivanti Endpoint Manager

    APP
    Ivanti
    20222024< 2022
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCESQLiAuth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-13161CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Absolute Path Traversal w Ivanti EPM — wyciek wrażliwych danych bez uwierzytelnienia

CVE-2024-13160CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Absolute Path Traversal w Ivanti EPM — wyciek wrażliwych danych bez uwierzytelnienia

CVE-2024-13159CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Absolute Path Traversal w Ivanti EPM — wyciek danych bez uwierzytelnienia

CVE-2025-10573CRITICAL9.6PL ✓ten sam produkt

Stored XSS w Ivanti Endpoint Manager umożliwiający przejęcie sesji admina

CVE-2024-10811CRITICAL9.8PL ✓ten sam produkt

Absolute Path Traversal w Ivanti Endpoint Manager — wyciek danych bez uwierzytelnienia

CVE-2024-50330 — SQL Injection w Ivanti Endpoint Manager umożliwiający RCE bez uwierzytelnienia — CRITICAL 9.8 | CVEbaza.pl