Update: Mehrere Sicherheitslücken in Ivanti Endpoint Manager

Die Warnmeldung wurde am 24. Februar 2025 aufgrund weiterführender Informationen aktualisiert. 

Das Unternehmen Ivanti veröffentlichte am 15. Januar 2025 eine Sicherheitsmeldung zu mehreren Schwachstellen in der Software Endpoint Manager (EPM). Unter den Sicherheitslücken befinden sich die folgenden vier kritischen Path-Traversal-Schwachstellen:

• CVE-2024-10811 mit CVSS-Score von 9.8/10
• CVE-2024-13161 mit CVSS-Score von 9.8/10
• CVE-2024-13160 mit CVSS-Score von 9.8/10
• CVE-2024-13159 mit CVSS-Score von 9.8/10

Die Sicherheitslücken betreffen die EPM-Versionen 2024 und 2022 SU6 mit Sicherheitsupdate von November 2024 und früher. Ivanti stellt für alle Versionen abgesicherte Patches bereit, die die Lücken schließen.

Das Cyber-Sicherheitsunternehmen Horizon3.ai publizierte am 19. Februar 2025 einen Proof of Concept Exploit (PoC-Exploit) für die vier oben genannten Schwachstellen. Die Existenz eines PoCs erhöht das Risiko einer Ausnutzung.

Installieren Sie den für Ihre EPM-Version passenden Patch von Ivanti. Den Link zu den Release Notes finden Sie unten.