Múltiples vulnerabilidades en productos Ivanti

Fecha de publicación 14/08/2024
Importancia
5 - Crítica
Recursos Afectados
  • Ivanti Virtual Traffic Manager (vTM), versiones:
    • 22.2;
    • 22.3;
    • 22.3R2;
    • 22.5R1;
    • 22.6R1;
    • 22.7R1.
  • Ivanti Neurons para ITSM, versiones:
    • 2023.4;
    • 2023.3;
    • 2023.2.
Descripción

Ivanti ha publicado 3 vulnerabilidades, 2 de severidad crítica y 1 alta, que afectan a sus productos Virtual Traffic Manager y Neurons para ITSM. La explotación de estas vulnerabilidades podría permitir a un atacante omitir el proceso de autenticación, divulgar información sensible o realizar un ataque MitM.

Solución
  • Ivanti Virtual Traffic Manager (vTM), versiones:
    • 22.2R1;
    • 22.3R3;
    • 22.5R2;
    • 22.6R2;
    • 22.7R2.
  • Ivanti Neurons para ITSM, versiones:
Detalle

Las vulnerabilidades críticas se describen a continuación:

  • La implementación incorrecta de un algoritmo de autenticación en Ivanti vTM que no sea de las versiones 22.2R1 o 22.7R2, podría permitir a un atacante remoto, no autenticado, omitir la autenticación del panel de administración. Se ha asignado el identificador CVE-2024-7593 para esta vulnerabilidad.
  • Una vulnerabilidad de divulgación de información en Ivanti ITSM on-prem y Neurons para ITSM, en versiones 2023.4 y anteriores, podría permitir a un atacante no autenticado obtener la clave secreta del cliente OIDC (OpenID Connect) a través de la información de depuración. Se ha asignado el identificador CVE-2024-7569 para esta vulnerabilidad.

La vulnerabilidad alta tiene asignada el identificador CVE-2024-7570.