Vulnerabilidad en Ivanti Avalanche (CVE-2024-29848)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-434
Subida sin restricciones de ficheros de tipos peligrosos
Fecha de publicación:
31/05/2024
Última modificación:
06/05/2025
Descripción
Una vulnerabilidad de carga de archivos sin restricciones en el componente web de Ivanti Avalanche anterior a 6.4.x permite a un usuario privilegiado y autenticado ejecutar comandos arbitrarios como SYSTEM.
Impacto
Puntuación base 3.x
7.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ivanti:avalanche:*:*:*:*:*:*:*:* | 6.4.3.602 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://forums.ivanti.com/s/article/Security-Advisory-May-2024
- https://forums.ivanti.com/s/article/Avalanche-6-4-3-602-additional-security-hardening-and-CVE-fixed?language=en_US
- https://forums.ivanti.com/s/article/Security-Advisory-May-2024
- https://forums.ivanti.com/s/article/Avalanche-6-4-3-602-additional-security-hardening-and-CVE-fixed?language=en_US