IT 软件供应商 Ivanti 最近发布了安全更新,以解决其 Avalanche、应用程序控制引擎和端点管理器 (EPM) 产品中的多个漏洞,其中包括 EPM 中的四个严重漏洞。
这些关键漏洞的 CVSS 评分为 9.8,它们是 EPM 中的路径遍历问题,可能允许未经身份验证的远程攻击者访问敏感信息。
受影响的缺陷包括:
- CVE-2024-10811
- CVE-2024-13159
- CVE-2024-13160
- CVE-2024-13161
影响 2024 年 11 月安全更新或 2022 SU6 11 月安全更新之前的 EPM 版本的漏洞已在 2025 年 1 月更新中得到解决。
Horizon3.ai 的安全研究员 Zach Hanley 因识别和报告这些问题而受到赞誉。
此外,Ivanti 还修复了 Avalanche(6.4.7 之前的版本)和 Application Control Engine(10.14.4.0 之前的版本)中的几个高严重性问题。
这些缺陷可能允许攻击者绕过身份验证机制、访问敏感数据或禁用应用程序阻止。
尽管 Ivanti 没有发现这些漏洞被大规模利用的证据,但该公司已加强扫描和测试等内部流程,以更有效地识别和解决潜在风险。
另外,SAP 还为其 NetWeaver ABAP 服务器和 ABAP 平台发布了关键补丁,以修复漏洞 CVE-2025-0070 和 CVE-2025-0066,这两个漏洞的 CVSS 评分均为 9.9 分。
这些缺陷可能允许经过身份验证的攻击者绕过身份验证检查、升级权限并获得对受限信息的访问权限。
另外,SAP 还为其 NetWeaver ABAP 服务器和 ABAP 平台推出了重要更新,解决了漏洞 CVE-2025-0070 和 CVE-2025-0066,这两个漏洞的 CVSS 评分均为 9.9 分。
这些缺陷可能会让经过身份验证的攻击者绕过身份验证检查、升级权限并获得对受限信息的访问权限。
“SAP 强烈建议客户访问支持门户并优先应用补丁来保护他们的 SAP 环境,”该公司说在 2025 年 1 月的公告中。
![Google Play 商店交易被拒绝 [OR-FGEMF-20] [ 修复 ]](https://webbedxp.com/tech/kourtney/wp-content/uploads/2024/10/Transaction-was-declined.jpg)
