CVE-2024-13162

Опубликовано: 14 янв. 2025

Источник: nvd

CVSS3: 7.2

EPSS Средний

Описание

SQL injection in Ivanti EPM before the 2024 January-2025 Security Update and 2022 SU6 January-2025 Security Update allows a remote authenticated attacker with admin privileges to achieve remote code execution. This CVE addresses incomplete fixes from CVE-2024-32848.

Ссылки

https://forums.ivanti.com/s/article/Security-Advisory-EPM-January-2025-for-EPM-2024-and-EPM-2022-SU6
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:ivanti:endpoint_manager:*:*:*:*:*:*:*:*

Версия до 2022 (исключая)

cpe:2.3:a:ivanti:endpoint_manager:2022:-:*:*:*:*:*:*

cpe:2.3:a:ivanti:endpoint_manager:2022:su1:*:*:*:*:*:*

cpe:2.3:a:ivanti:endpoint_manager:2022:su2:*:*:*:*:*:*

cpe:2.3:a:ivanti:endpoint_manager:2022:su3:*:*:*:*:*:*

cpe:2.3:a:ivanti:endpoint_manager:2022:su4:*:*:*:*:*:*

cpe:2.3:a:ivanti:endpoint_manager:2022:su5:*:*:*:*:*:*

cpe:2.3:a:ivanti:endpoint_manager:2024:-:*:*:*:*:*:*

EPSS

Процентиль: 95%

0.19718

Средний

7.2 High

CVSS3

Дефекты

CWE-89

Связанные уязвимости

GHSA-98mp-xvw5-2fch

CVSS3: 7.2

github

около 1 года назад

BDU:2025-00401

CVSS3: 7.2

fstec

около 1 года назад

Уязвимость программного средства управления конечными точками Ivanti EPM, связанная с непринятием мер по защите структуры запроса SQL, позволяющая нарушителю выполнить удаленный код

EPSS

Процентиль: 95%

0.19718

Средний

7.2 High

CVSS3

Дефекты

CWE-89