BDU:2024-03087

Опубликовано: 18 мар. 2024

Источник: fstec

CVSS3: 6.5

CVSS2: 6.8

EPSS Низкий

Описание

Уязвимость компонента WLAvalancheService системы управления мобильными устройствами Avalanche связана с ошибками разыменования указателей. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Ivanti

Наименование ПО

Avalanche

Версия ПО

до 6.4.3 (Avalanche)

Тип ПО

Сетевое средство

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)

Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,5)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников.

В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:

- использование средств межсетевого экранирования для ограничения удалённого доступа;

- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания удалённых подключений;

- ограничение доступа из внешних сетей (Интернет);

- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:

https://forums.ivanti.com/s/article/Avalanche-6-4-3-Security-Hardening-and-CVEs-addressed?language=en_US

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

https://forums.ivanti.com/s/article/Avalanche-6-4-3-Security-Hardening-and-CVEs-addressed?language=en_US&languageenUS=

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-24991
CVE

EPSS

Процентиль: 86%

0.02835

Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

CVE-2024-24991

CVSS3: 6.5

nvd

больше 1 года назад

A Null Pointer Dereference vulnerability in WLAvalancheService component of Ivanti Avalanche before 6.4.3 allows an authenticated remote attacker to perform denial of service attacks.

GHSA-23c8-gv7j-76hv

CVSS3: 6.5

github

больше 1 года назад

A Null Pointer Dereference vulnerability in WLAvalancheService component of Ivanti Avalanche before 6.4.3 allows an authenticated remote attacker to perform denial of service attacks.

EPSS

Процентиль: 86%

0.02835

Низкий

6.5 Medium

CVSS3

6.8 Medium

CVSS2