A Ivanti anunciou correções para resolver várias falhas de segurança críticas no Endpoint Manager (EPM) que poderiam ser exploradas para alcançar a execução de código remoto em determinadas circunstâncias.

Seis das 10 vulnerabilidades – dos CVE-2024-29822 até o CVE-2024-29827 (pontuações CVSS: 9,6) – estão relacionadas a falhas de injeção de SQL que permitem que um atacante não autenticado na mesma rede execute código arbitrário.

As quatro falhas restantes – CVE-2024-29828, CVE-2024-29829, CVE-2024-29830 e CVE-2024-29846 – também se enquadram na mesma categoria, sendo a única alteração que elas exigem que o atacante esteja autenticado.

As deficiências afetam o servidor Core das versões 2022 SU5 e anteriores do Ivanti EPM.

A empresa também corrigiu uma falha de segurança de alta gravidade na versão 6.4.3.602 do Avalanche (CVE-2024-29848, pontuação CVSS: 7,2) que poderia permitir que um atacante alcançasse a execução de código remoto enviando um arquivo especialmente elaborado.

Além disso, patches foram enviados para outras cinco vulnerabilidades de alta gravidade: uma injeção de SQL (CVE-2024-22059) e uma falha de upload de arquivo não restrito (CVE-2024-22060) no Neurons for ITSM, uma falha de injeção de CRLF no Connect Secure (CVE-2023-38551) e dois problemas de escalonamento de privilégios locais no cliente Secure Access para Windows (CVE-2023-38042) e Linux (CVE-2023-46810).

A Ivanti enfatizou que não há evidências de que as falhas tenham sido exploradas ou que tenham sido “introduzidas maliciosamente em nosso processo de desenvolvimento de código” por meio de um ataque à cadeia de suprimentos.