Múltiples vulnerabilidades en productos Ivanti
Fecha de publicación 14/08/2024
Importancia
5 - Crítica
Recursos Afectados
- Ivanti Virtual Traffic Manager (vTM), versiones:
- 22.2;
- 22.3;
- 22.3R2;
- 22.5R1;
- 22.6R1;
- 22.7R1.
- Ivanti Neurons para ITSM, versiones:
- 2023.4;
- 2023.3;
- 2023.2.
Descripción
Ivanti ha publicado 3 vulnerabilidades, 2 de severidad crítica y 1 alta, que afectan a sus productos Virtual Traffic Manager y Neurons para ITSM. La explotación de estas vulnerabilidades podría permitir a un atacante omitir el proceso de autenticación, divulgar información sensible o realizar un ataque MitM.
Solución
Detalle
Las vulnerabilidades críticas se describen a continuación:
- La implementación incorrecta de un algoritmo de autenticación en Ivanti vTM que no sea de las versiones 22.2R1 o 22.7R2, podría permitir a un atacante remoto, no autenticado, omitir la autenticación del panel de administración. Se ha asignado el identificador CVE-2024-7593 para esta vulnerabilidad.
- Una vulnerabilidad de divulgación de información en Ivanti ITSM on-prem y Neurons para ITSM, en versiones 2023.4 y anteriores, podría permitir a un atacante no autenticado obtener la clave secreta del cliente OIDC (OpenID Connect) a través de la información de depuración. Se ha asignado el identificador CVE-2024-7569 para esta vulnerabilidad.
La vulnerabilidad alta tiene asignada el identificador CVE-2024-7570.
Listado de referencias