Ivanti 针对其端点管理器 (EPM) 软件中的多个关键和高严重性漏洞发布了安全公告。这些漏洞一旦被利用，可使攻击者获得未经授权的访问、执行远程代码或权限升级，从而对企业系统构成严重威胁。

最严重的漏洞是四个绝对路径遍历漏洞，即 CVE-2024-10811、CVE-2024-13161、CVE-2024-13160 和 CVE-2024-13159，每个漏洞的 CVSS 得分为 9.8（严重）。这些漏洞可允许未经认证的远程攻击者泄漏敏感信息。

其他漏洞包括：

• 无限制的资源搜索路径可能允许远程代码执行（CVE-2024-13158，CVSS 得分：7.2）
• 签名验证不当，可能导致远程代码执行（CVE-2024-13172、CVE-2024-13171，CVSS 得分：7.8）
• 越界写入可能导致拒绝服务条件 (CVE-2024-13169, CVE-2024-13168, CVE-2024-13167, CVE-2024-13166, CVE-2024-13165, CVSS Score: 7.5, 7.8)
• 越界读取可能导致权限升级 (CVE-2024-13170, CVSS Score: 7.5)
• 可导致权限升级的未初始化资源 (CVE-2024-13164, CVSS Score: 7.8)
• 反序列化不受信任的数据，可能导致远程代码执行 (CVE-2024-13163, CVSS Score: 7.8)
• 可能允许远程代码执行的 SQL 注入（CVE-2024-13162，CVSS 得分：7.2）

该公司写道：“在披露这些漏洞时，我们尚未发现有客户利用这些漏洞。”

Ivanti 已经发布了 EPM 2024 和 EPM 2022 SU6 的热补丁，以解决这些漏洞。该公司敦促所有客户尽快应用这些补丁。

Ivanti 安全公告提供了有关如何下载和应用补丁的详细说明。