Síntesis
Ivanti lanza actualizaciones de seguridad que abordan 8 vulnerabilidades, incluida una con gravedad «crítica» y 7 con gravedad «alta», en los productos Ivanti Neurons for ITSM, Ivanti Avalanche e Ivanti Virtual Traffic Manager.
Nota: El proveedor afirma que hay un exploit para CVE-2024-7593 disponible en línea.
Riesgo
Impacto estimado de la vulnerabilidad en la comunidad de referencia: GRAVE/ROJA (79,23/100)1.
Tipología
- Arbitrary File Read
- Denial of Service
- Information Disclosure
- Privilege Escalation
- Remote Code Execution
- Security Restrictions Bypass
Productos y versiones afectados
Ivanti Neurons para ITSM, versiones:
- 2023.2
- 2023.3
- 2023.4
Avalancha Ivanti
- 6.3.x, versiones 6.3.1 a 6.3.4
- 6.4.x, versiones 6.4.0 a 6.4.3
Ivanti Virtual Traffic Manager (vTM), versiones:
- 22.2
- 22.3
- 22.3R2
- 22.5R1
- 22.6R1
- 22.7R1
Acciones de mitigación
En línea con lo indicado por el proveedor, se recomienda actualizar los productos vulnerables siguiendo las indicaciones de los boletines de seguridad reportados en la sección Referencias.
Identificadores únicos de vulnerabilidad
A continuación se muestran los CVE relacionados con vulnerabilidades de gravedad «crítica» y «alta»:
Referencias
1Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de patch/workaround y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.
