Ivanti 公司已发布安全更新，修复了影响 Avalanche、Application Control Engine和Endpoint Manager (EPM) 中的多个漏洞，其中的四个严重漏洞可导致信息泄露。

这四个严重漏洞的CVSS评分均为9.8分，位于EPM中，与绝对路径遍历漏洞相关，可导致远程未认证攻击者泄露敏感信息。它们是CVE-2024-10811、CVE-2024-13161、CVE-2024-13160和CVE-2024-13159。

这些漏洞影响EPM 2024年11月安全更新版本以及之前版本，以及2022 SU6 11月安全更新及之前版本。这些漏洞已在EPM 2024年1月—2025年安全更新和EPM 2022 SU6年1月—2025年安全更新中修复。这些漏洞由Horizon3.ai 公司的安全研究员 Zach Hanley发现并报送。

此外，Ivanti 公司还修复了位于Avalanche 6.4.7之前及Application Control Engine 10.14.4.0之前版本中的多个高危漏洞，它们可导致攻击者绕过认证、泄露敏感信息并绕过应用拦截功能。该公司表示并未看到这些漏洞遭在野利用的整局，已增强其内部扫描和测试程序，及时标记并修复安全漏洞。

此前不久，SAP修复了位于NetWeaver ABAP Server和ABAP Platform 中的两个漏洞CVE-2025-0070和CVE-2025-0066（CVSS评分9.9），它们可导致认证攻击者利用认证检查不当漏洞提升权限并利用弱访问控制来访问受限制的信息。SAP在2025年1月的安全通告中提到，“SAP强烈建议客户访问支持门户，优先应用补丁，保护SAP态势安全。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~