Synthèse
Ivanti publie des mises à jour de sécurité qui corrigent 8 faiblesses, dont une de gravité « critique » et 7 de gravité « élevée », dans les produits Ivanti Neurons pour ITSM, Ivanti Avalanche et Ivanti Virtual Traffic Manager.
Remarque : Le fournisseur indique qu’un exploit pour CVE-2024-7593 est disponible en ligne.
Remarque (mis à jour le 24/09/2024) : CVE-2024-7593 semble être activement exploité en ligne.
Risque
Impact estimé de la limitation sur la communauté de référence : SÉVÈRE/ROUGE (79,23/100) 1.
Typologie
- Reading arbitrary file
- Denial of the service
- Dissemination of information
- Escalation of privileges
- Execution of remote code
- Bypass of safety restrictions
Produits et versions concernés
Ivanti Neurons pour ITSM, version :
- 2023.2
- 2023.3
- 2023.4
Avalanche Ivanti
- 6.3.x, versions 6.3.1 à 6.3.4
- 6.4.x, versions 6.4.0 à 6.4.3
Ivanti Virtual Traffic Manager (vTM), version :
- 22.2
- 22.3
- 22.3R2
- 22.5R1
- 22.6R1
- 22.7R1
Mesures d’atténuation
Conformément aux déclarations du vendeur, il est recommandé de mettre à jour les produits vulnérables en suivant les indications des bulletins de sécurité rapportés dans la section Références.
Identificateurs de faiblesses uniques
Vous trouverez ci-dessous les CVE relatifs aux faiblesses de gravité « critique » et « élevée » :
Références
1 Cette estimation est réalisée en tenant compte de divers paramètres, notamment : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.
