PT-2024-8594 · Ivanti · Ivanti Endpoint Manager
Publicado
2024-06-05
·
Atualizado
2025-04-23
·
CVE-2024-32839
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Ivanti Endpoint Manager anteriores à Atualização de Segurança de novembro de 2024
Versões do Ivanti Endpoint Manager anteriores à Atualização de Segurança de novembro de 2022 (SU6)
Descrição
O problema está relacionado à falta de proteção contra a exploração da estrutura de consultas SQL no Ivanti Endpoint Manager, permitindo que um invasor remoto autenticado com privilégios de administrador execute código remotamente por meio de injeção de SQL.
Recomendações
Para versões anteriores à Atualização de Segurança de novembro de 2024, atualize para a Atualização de Segurança de novembro de 2024 ou posterior.
Para versões anteriores à Atualização de Segurança de novembro de 2022 SU6, atualize para a Atualização de Segurança de novembro de 2022 SU6 ou posterior.
Como solução alternativa temporária, considere restringir o acesso ao componente MP VistaReport até que um patch esteja disponível.
Correção
RCE
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ivanti Endpoint Manager