Ivanti, Zero Day Initiative (ZDI) ve Tenable Security’den güvenlik araştırmacıları tarafından bildirilen Avalanche mobil cihaz yöneticisi ürünündeki bir dizi güvenlik açığını yamaladı.
Tenable’ın katkısına CVE-2023-32560 tanımlayıcısı verildi ve Avalanche WLAvanacheServer.exe v6.4.0.0’da yığın tabanlı arabellek taşmalarının bir koleksiyonudur.
Güvenlik açıkları, yazılımı kimliği doğrulanmamış saldırganlar tarafından uzaktan kod yürütmeye (RCE) karşı savunmasız bıraktıklarından CVSS puanı 9,8 ile kritik olarak derecelendirilmiştir.
Biri CVSS puanı 9,8 olan altı güvenlik açığı daha ZDI tarafından Ivanti’ye bildirildi.
CVE-2023-32563 adlı kritik güvenlik açığı, Avalanche’ın updateSkin işlevinde kimliği doğrulanmamış RCE için de kullanılabilen bir dizin geçiş hatasıdır.
ZDI araştırmacıları, “Sorun, kullanıcı tarafından sağlanan bir yolun dosya işlemlerinde kullanılmadan önce uygun şekilde doğrulanmamasından kaynaklanıyor” diye yazdı.
“Bir saldırgan, SİSTEM bağlamında kod yürütmek için bu güvenlik açığından yararlanabilir.”
CVE-2023-32561, CVSS puanı 8.1 olan bir kimlik doğrulama atlama hatasıdır.
ZDI araştırmacıları, “Spesifik kusur, dumpHeap yönteminde var” diye yazdı.
“Sorun, yanlış bir izin atamasından kaynaklanıyor. Saldırgan, sistemdeki kimlik doğrulamasını atlamak için bu güvenlik açığından yararlanabilir.”
Kalan düşük dereceli güvenlik açıkları Avalanche SecureFilter’da (CVE-2023-32566 ve CVE-2023-32565); ve isteğe bağlı bir dosya yükleme hatası (CVE-2023-32564 ve CVE-2023-32562).
Ivanti, Avalanche 6.4.1.207’deki hataları düzeltti.