IT 軟體供應商 Ivanti 最近發布了安全性更新,以解決其 Avalanche、應用程式控制引擎和端點管理器 (EPM) 產品中的多個漏洞,其中包括 EPM 中的四個嚴重漏洞。
這些關鍵漏洞的 CVSS 評分為 9.8,它們是 EPM 中的路徑遍歷問題,可能允許未經身份驗證的遠端攻擊者存取敏感資訊。
受影響的缺陷包括:
- CVE-2024-10811
- CVE-2024-13159
- CVE-2024-13160
- CVE-2024-13161
影響 2024 年 11 月安全性更新或 2022 SU6 11 月安全性更新之前的 EPM 版本的漏洞已在 2025 年 1 月更新中解決。
Horizon3.ai 的安全研究員 Zach Hanley 因識別和報告這些問題而受到讚譽。
此外,Ivanti 還修復了 Avalanche(6.4.7 之前的版本)和 Application Control Engine(10.14.4.0 之前的版本)中的幾個高嚴重性問題。
這些缺陷可能允許攻擊者繞過身份驗證機制、存取敏感資料或停用應用程式阻止。
儘管 Ivanti 沒有發現這些漏洞被大規模利用的證據,但該公司已加強掃描和測試等內部流程,以更有效地識別和解決潛在風險。
另外,SAP 也為其 NetWeaver ABAP 伺服器和 ABAP 平台發布了關鍵補丁,以修復漏洞 CVE-2025-0070 和 CVE-2025-0066,這兩個漏洞的 CVSS 評分均為 9.9 分。
這些缺陷可能允許經過身份驗證的攻擊者繞過身份驗證檢查、升級權限並獲得對受限資訊的存取權。
另外,SAP 也為其 NetWeaver ABAP 伺服器和 ABAP 平台推出了重要更新,解決了漏洞 CVE-2025-0070 和 CVE-2025-0066,這兩個漏洞的 CVSS 評分均為 9.9 分。
這些缺陷可能會讓經過身份驗證的攻擊者繞過身份驗證檢查、升級權限並獲得對受限資訊的存取權。
「SAP 強烈建議客戶訪問支援門戶並優先應用補丁來保護他們的 SAP 環境,」該公司說在 2025 年 1 月的公告中。
