Múltiples vulnerabilidades en Avalanche de Ivanti

Fecha de publicación: 22/11/2021

Importancia:
Crítica

Recursos afectados:

Avalanche versiones anteriores a la 6.3.3.

Descripción:

El investigador, Chudy, a través de ZDI, ha publicado 5 vulnerabilidades, 4 de severidad crítica y 1 alta por las que un atacante podría ejecutar código arbitrario y omitir la autenticación en las instalaciones afectadas.

Solución:

Actualizar a la versión 6.3.3.

Detalle:

• Una falta de validación adecuada de los datos suministrados por el usuario, podría dar lugar a la deserialización de datos no fiables en el servicio StatServer. Se ha asignado el identificador CVE-2021-42127 para esta vulnerabilidad crítica.
• Existe una falta de validación adecuada de una cadena suministrada por el usuario antes de utilizarla para ejecutar una llamada al sistema en el método runAgentRestarter. Se ha asignado el identificador CVE-2021-42132 para esta vulnerabilidad crítica.
• Existe una falta de validación adecuada de una cadena suministrada por el usuario antes de utilizarla para ejecutar una llamada al sistema en el método mapShare. Se ha asignado el identificador CVE-2021-42129 para esta vulnerabilidad crítica.
• Una falta de validación adecuada de los datos suministrados por el usuario en el servicio DataRepository, podría dar lugar a la deserialización de datos no fiables. Se ha asignado el identificador CVE-2021-42130 para esta vulnerabilidad crítica.
• Una falta de autenticación antes de permitir el acceso a la funcionalidad en la clase SetUser. Un atacante puede aprovechar esta vulnerabilidad para saltarse la autenticación en el sistema. Se ha asignado el identificador CVE-2021-42128 para esta vulnerabilidad de severidad alta.

Etiquetas:
Actualización, Comunicaciones, Vulnerabilidad