Ivanti đã phát hành các bản vá bảo mật cho Ivanti Endpoint Manager (EPM) nhằm khắc phục bốn lỗ hổng nghiêm trọng, có điểm CVSS 9.8, liên quan đến “absolute path traversal”, cho phép kẻ tấn công từ xa rò rỉ thông tin nhạy cảm.
Các lỗ hổng này được theo dõi với mã định danh CVE-2024-10811, CVE-2024-13161, CVE-2024-13160 và CVE-2024-13159 ảnh hưởng đến các phiên bản EPM cập nhật bảo mật tháng 11 năm 2024 và các phiên bản trước đó, cũng như phiên bản EPM 2022 SU6 và các phiên bản trước đó. Các vấn đề này đã được khắc phục trong các bản cập nhật bảo mật tháng 1 năm 2025 cho EPM 2024 và EPM 2022 SU6.
Ivanti cũng đã vá một số lỗi nghiêm trọng trong Avalanche và Application Control Engine, có thể cho phép kẻ tấn công vượt qua xác thực và truy xuất thông tin nhạy cảm. Ivanti khẳng định không có bằng chứng về việc các lỗ hổng này bị khai thác trong thực tế và đã tăng cường quy trình quét bảo mật. Đồng thời, khuyến nghị khách hàng áp dụng các bản vá mới nhất để bảo vệ hệ thống.
