Ivanti Endpoint Manager 版本中發現的嚴重漏洞

IT 軟體供應商 Ivanti 最近發布了安全性更新，以解決其 Avalanche、應用程式控制引擎和端點管理器 (EPM) 產品中的多個漏洞，其中包括 EPM 中的四個嚴重漏洞。

這些關鍵漏洞的 CVSS 評分為 9.8，它們是 EPM 中的路徑遍歷問題，可能允許未經身份驗證的遠端攻擊者存取敏感資訊。

受影響的缺陷包括：

• CVE-2024-10811
• CVE-2024-13159
• CVE-2024-13160
• CVE-2024-13161

影響 2024 年 11 月安全性更新或 2022 SU6 11 月安全性更新之前的 EPM 版本的漏洞已在 2025 年 1 月更新中解決。

Horizo​​n3.ai 的安全研究員 Zach Hanley 因識別和報告這些問題而受到讚譽。

此外，Ivanti 還修復了 Avalanche（6.4.7 之前的版本）和 Application Control Engine（10.14.4.0 之前的版本）中的幾個高嚴重性問題。

這些缺陷可能允許攻擊者繞過身份驗證機制、存取敏感資料或停用應用程式阻止。

儘管 Ivanti 沒有發現這些漏洞被大規模利用的證據，但該公司已加強掃描和測試等內部流程，以更有效地識別和解決潛在風險。

另外，SAP 也為其 NetWeaver ABAP 伺服器和 ABAP 平台發布了關鍵補丁，以修復漏洞 CVE-2025-0070 和 CVE-2025-0066，這兩個漏洞的 CVSS 評分均為 9.9 分。

這些缺陷可能允許經過身份驗證的攻擊者繞過身份驗證檢查、升級權限並獲得對受限資訊的存取權。

另外，SAP 也為其 NetWeaver ABAP 伺服器和 ABAP 平台推出了重要更新，解決了漏洞 CVE-2025-0070 和 CVE-2025-0066，這兩個漏洞的 CVSS 評分均為 9.9 分。

這些缺陷可能會讓經過身份驗證的攻擊者繞過身份驗證檢查、升級權限並獲得對受限資訊的存取權。

「SAP 強烈建議客戶訪問支援門戶並優先應用補丁來保護他們的 SAP 環境，」該公司說在 2025 年 1 月的公告中。