Na terça-feira, a Ivanti lançou correções para várias vulnerabilidades críticas no Endpoint Manager (EPM) que podem ser exploradas para execução remota de código em determinadas circunstâncias. Seis das dez vulnerabilidades, CVE-2024-29822 a CVE-2024-29827, estão relacionadas a falhas de injeção de SQL que permitem a um atacante não autenticado na mesma rede executar código arbitrário. A Ivanti ressaltou que não há evidências de que as falhas estejam sendo exploradas ativamente ou que tenham sido “introduzidas de forma maliciosa em nosso processo de desenvolvimento de código” via um ataque de cadeia de suprimentos.
Esses desenvolvimentos surgem à medida que detalhes emergem sobre uma falha crítica na versão de código aberto do motor de orquestração e execução de Big Data federado Genie, desenvolvido pela Netflix, que pode levar à execução remota de código. Descrita como uma vulnerabilidade de travessia de caminho, a falha pode ser explorada para escrever um arquivo arbitrário no sistema de arquivos e executar código arbitrário. Ela afeta todas as versões do software anteriores à 4.3.18.
A questão surge do fato de que a API REST do Genie é projetada para aceitar um nome de arquivo fornecido pelo usuário como parte da solicitação, permitindo que um ator malicioso crie um nome de arquivo que possa escapar do caminho de armazenamento de anexos padrão e escrever um arquivo com qualquer nome especificado pelo usuário para um caminho especificado pelo ator.