Ivanti Endpoint Manager 2024 - 2024 年 11 月安全性更新

critical Nessus Plugin ID 211458

概要

遠端主機上執行的 Ivanti Endpoint Manager 2024 執行個體受到多個弱點影響

說明

遠端主機上執行的 Ivanti Endpoint Manager 2024 版本缺少 2024 年 11 月 Hotfix。因此會受到多個弱點影響:

- 在 2024 年 11 月安全性更新或 2022 年 SU6 安全性更新之前的 Ivanti Endpoint Manager 中,路徑遊走允許未經驗證的本機攻擊者執行程式碼。需要使用者互動。(CVE-2024-34787)

- 在 2024 年 11 月安全性更新或 2022 年 SU6 安全性更新之前的 Ivanti Endpoint Manager 中,路徑遊走允許未經驗證的遠端攻擊者執行遠端程式碼。需要使用者互動。(CVE-2024-50329)
- 在 2024 年 11 月安全性更新或 2022 年 SU6 安全性更新之前的 Ivanti Endpoint Manager 中,SQL 插入攻擊允許未經驗證的遠端攻擊者執行遠端程式碼。(CVE-2024-50330)

請注意,Nessus 並未測試這些問題,而是僅依據此服務自我報告的相關 dll 檔案的版本號碼作出判斷。

解決方案

請參閱廠商公告

另請參閱

http://www.nessus.org/u?fe606be2

Plugin 詳細資訊

嚴重性: Critical

ID: 211458

檔案名稱: ivanti_endpoint_manager_EPM_November_2024.nasl

版本: 1.6

類型: local

代理程式: windows

系列: Windows

已發布: 2024/11/15

已更新: 2025/7/8

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2024-50330

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:ivanti:endpoint_manager

必要的 KB 項目: installed_sw/Ivanti Endpoint Manager

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/11/12

弱點發布日期: 2024/11/12

參考資訊

CVE: CVE-2024-32839, CVE-2024-32841, CVE-2024-32844, CVE-2024-32847, CVE-2024-34780, CVE-2024-34781, CVE-2024-34782, CVE-2024-34784, CVE-2024-34787, CVE-2024-37376, CVE-2024-50322, CVE-2024-50323, CVE-2024-50324, CVE-2024-50326, CVE-2024-50327, CVE-2024-50328, CVE-2024-50329, CVE-2024-50330

IAVA: 2024-A-0741-S