Pesquisadores de cibersegurança lançaram um exploit de prova de conceito (PoC) para uma nova vulnerabilidade no Ivanti EPMM (CVE-2024-22026, pontuação CVSS: 6.7) que poderia permitir que um usuário local autenticado contornasse restrições de shell e executasse comandos arbitrários no appliance.

“Essa vulnerabilidade permite que um atacante local obtenha acesso root ao sistema explorando o processo de atualização de software com um pacote RPM malicioso de uma URL remota”, disse Bryan Smith, pesquisador de ciberseguança. O problema decorre de uma validação inadequada na linha de comando do EPMM, que pode buscar um pacote RPM arbitrário de uma URL fornecida pelo usuário sem verificar sua autenticidade. A CVE-2024-22026 afeta todas as versões do EPMM anteriores à 12.1.0.0.

Além disso, a Ivanti também corrigiu duas outras falhas de injeção de SQL no mesmo produto (CVE-2023-46806 e CVE-2023-46807, pontuações CVSS: 6.7) que poderiam permitir que um usuário autenticado com privilégios apropriados acessasse ou modificasse dados no banco de dados subjacente. Embora não haja evidências de que essas falhas tenham sido exploradas, os usuários são aconselhados a atualizar para a versão mais recente para mitigar ameaças potenciais.