Podatność typu absolute path traversal w Ivanti Endpoint Manager umożliwia zdalnemu, nieuwierzytelnionemu atakującemu uzyskanie dostępu do wrażliwych informacji przechowywanych na serwerze. Krytyczny poziom CVSS 9.8 oraz aktywne wykorzystanie podatności w środowiskach produkcyjnych czynią ją wysoce priorytetową do natychmiastowego załatania.
▸ Pokaż oryginał (EN)
Absolute path traversal in Ivanti EPM before the 2024 January-2025 Security Update and 2022 SU6 January-2025 Security Update allows a remote unauthenticated attacker to leak sensitive information.
Luka (CWE-36 — absolute path traversal) polega na tym, że aplikacja nie ogranicza właściwie ścieżek plików wskazywanych przez użytkownika, co pozwala atakującemu na odwołanie się do dowolnych plików w systemie plików serwera przy użyciu bezwzględnych ścieżek. Żądanie może zostać wysłane bez jakiegokolwiek uwierzytelnienia, co eliminuje typowe bariery dostępu. W efekcie atakujący jest w stanie odczytywać pliki leżące poza przeznaczonymi do tego katalogami aplikacji.
Atakujący może zdalnie, bez uwierzytelnienia, odczytać wrażliwe informacje z systemu — potencjalnie w tym dane konfiguracyjne, poświadczenia lub inne pliki dostępne dla procesu serwera, co może prowadzić do dalszego kompromitowania środowiska.
Należy niezwłocznie zaktualizować Ivanti EPM do wersji zawierającej aktualizację zabezpieczeń January-2025 Security Update (dla linii EPM 2024) lub 2022 SU6 January-2025 Security Update (dla linii EPM 2022). Szczegółowe instrukcje dostępne są w oficjalnym biuletynie bezpieczeństwa producenta: https://forums.ivanti.com/s/article/Security-Advisory-EPM-January-2025-for-EPM-2024-and-EPM-2022-SU6
Ivanti Endpoint Manager (EPM) w wersjach wcześniejszych niż aktualizacja zabezpieczeń 2024 January-2025 Security Update oraz wcześniejszych niż 2022 SU6 January-2025 Security Update.
Podatność znajduje się w katalogu CISA KEV (Known Exploited Vulnerabilities), co potwierdza aktywne wykorzystanie w środowiskach produkcyjnych. Dodatkowe informacje techniczne dotyczące mechanizmu ataku zostały opublikowane przez Horizon3.ai w ramach ich badań nad podatnościami Ivanti EPM związanymi z wyłudzaniem poświadczeń.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HIvanti Endpoint Manager
APPIvanti20222024< 2022
CISA KEV — szczegółyi
- Dostawcai
- Ivanti ↗
- Produkti
- Endpoint Manager (EPM)
- Data dodania do KEVi
- 10 marca 2025
- Termin remediation (USA)i
- 31 marca 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług w chmurze lub zaprzestań użytkowania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Ivanti Endpoint Manager (EPM) zawiera lukę path traversal, która pozwala zdalnemu nieuwierzytelnionemu atakującemu na wyciek poufnych informacji.
▸ Pokaż oryginał (EN)
Ivanti Endpoint Manager (EPM) contains an absolute path traversal vulnerability that allows a remote unauthenticated attacker to leak sensitive information.
Powiązane podatności
Absolute Path Traversal w Ivanti EPM — wyciek danych bez uwierzytelnienia
Absolute Path Traversal w Ivanti EPM — wyciek wrażliwych danych bez uwierzytelnienia
Stored XSS w Ivanti Endpoint Manager umożliwiający przejęcie sesji admina
Absolute Path Traversal w Ivanti Endpoint Manager — wyciek danych bez uwierzytelnienia
SQL Injection w Ivanti Endpoint Manager umożliwiający RCE bez uwierzytelnienia