PT-2024-28102 · Ivanti · Ivanti Avalanche

Publicado

2024-08-13

·

Atualizado

2024-08-15

·

CVE-2024-38652

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
Nome do software vulnerável e versões afetadas
Ivanti Avalanche versão 6.3.1
Descrição
A vulnerabilidade permite que um invasor remoto não autenticado provoque uma negação de serviço por meio da exclusão arbitrária de arquivos, devido a um problema de traversal de caminho no componente de gerenciamento de skins.
Recomendações
Para o Ivanti Avalanche versão 6.3.1, considere restringir o acesso ao componente de gerenciamento de skins para minimizar o risco de exploração até que uma correção esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Path traversal

XXE

NULL Pointer Dereference

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22CWE-611CWE-476

Identificadores relacionados

BDU:2024-10277
BDU:2024-10283
CVE-2024-38652
ZDI-24-1149

Produtos afetados

Ivanti Avalanche