Ivanti uç nokta yöneticisi savunmasızdır. Toplamda, saldırganlar şimdi kapatılmış altı zayıflığa başlayabilir. Geliştiricilere göre, şu anda herhangi bir saldırı testi yok.
Ortadaki adamın saldırısı mümkün
Bir uyarı mesajından görülebileceği gibi, zayıf bir nokta yansıması XSS (CVE 2025-22466 “yüksek“) En tehlikeli. Kısıtlı açıklamaya göre, uzak bir forvet yönetim haklarını kimlik doğrulaması yapmadan çıkarılabilir. Ancak bir kurbanın oynaması gerekir. Bunun ayrıntılı olarak nasıl çalışabileceği şimdiye kadar açıktır.
Hazırlanan bir DLL kütüphanesi, kimlik doğrulamalı saldırgan sistemini elde edebilir (CVE-2025-22358 “yüksek“). Bir SQL GAP (CVE-2025-22461”yüksek“) Yöneticiler olması gereken saldırganların zararlı bir kod gerçekleştirmesine izin verir.
Kalan güvenlik boşlukları tehdit derecesi ile ilgilidir “orta“Bu noktalarda sıralanan, örneğin, bir saldırgan yetersiz sertifikanın kontrolü nedeniyle bağlantıları sıkabilir.
Geliştiriciler zayıf yönlerini sağlar Ivanti-Endpoint Manager 2022 SU7 sürümleri VE 2024 ON1 kapanış için.
(DES)
Ortadaki adamın saldırısı mümkün
Bir uyarı mesajından görülebileceği gibi, zayıf bir nokta yansıması XSS (CVE 2025-22466 “yüksek“) En tehlikeli. Kısıtlı açıklamaya göre, uzak bir forvet yönetim haklarını kimlik doğrulaması yapmadan çıkarılabilir. Ancak bir kurbanın oynaması gerekir. Bunun ayrıntılı olarak nasıl çalışabileceği şimdiye kadar açıktır.
Hazırlanan bir DLL kütüphanesi, kimlik doğrulamalı saldırgan sistemini elde edebilir (CVE-2025-22358 “yüksek“). Bir SQL GAP (CVE-2025-22461”yüksek“) Yöneticiler olması gereken saldırganların zararlı bir kod gerçekleştirmesine izin verir.
Kalan güvenlik boşlukları tehdit derecesi ile ilgilidir “orta“Bu noktalarda sıralanan, örneğin, bir saldırgan yetersiz sertifikanın kontrolü nedeniyle bağlantıları sıkabilir.
Geliştiriciler zayıf yönlerini sağlar Ivanti-Endpoint Manager 2022 SU7 sürümleri VE 2024 ON1 kapanış için.
(DES)