CVE-2024-29823

CVSS 9.6 CRITICALEPSS 99.9%CWE-89

Em resumo

Uma falha no Ivanti EPM 2022 SU5 e versões anteriores permite que alguém na mesma rede injete comandos SQL maliciosos sem fazer login, potencialmente tomando controle total do servidor.

Detalhe técnico

Vulnerabilidade de Injeção SQL não autenticada no servidor Core do Ivanti EPM (CWE-89) permite que atacantes na mesma rede executem consultas SQL arbitrárias e posteriormente código arbitrário. Não requer autenticação; a exploração exige acesso de rede ao sistema afetado.

Resumo gerado e traduzido por IA a partir da descrição oficial.

An unspecified SQL Injection vulnerability in Core server of Ivanti EPM 2022 SU5 and prior allows an unauthenticated attacker within the same network to execute arbitrary code.

CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Produtos afetados

Ivanti · EPM

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://forums.ivanti.com/s/article/Security-Advisory-May-2024