A Ivanti lançou atualizações de segurança para corrigir diversas falhas críticas em seus produtos Avalanche, Application Control Engine e Endpoint Manager (EPM). Entre as vulnerabilidades, destacam-se quatro falhas críticas no EPM, classificadas com uma pontuação de 9,8 na escala CVSS, que podem ser exploradas por invasores remotos não autenticados para vazar informações confidenciais. Essas falhas, identificadas como CVE-2024-10811, CVE-2024-13161, CVE-2024-13160 e CVE-2024-13159, estão relacionadas à travessia de caminho absoluto e afetam versões do EPM até novembro de 2024 e atualizações anteriores.

As vulnerabilidades foram corrigidas nas atualizações de segurança de janeiro de 2025 para o EPM 2024 e 2022 SU6. O pesquisador Zach Hanley, da Horizon3.ai, foi responsável por descobrir e relatar as falhas. Além disso, a Ivanti abordou problemas de alta gravidade no Avalanche (versões anteriores à 6.4.7) e no Application Control Engine (versões anteriores à 10.14.4.0), que poderiam permitir bypass de autenticação, vazamento de dados sensíveis e contorno de bloqueios de aplicativos. Apesar da gravidade das vulnerabilidades, a Ivanti informou que não há evidências de exploração ativa dessas falhas até o momento. A empresa reforçou seus processos internos de varredura e testes para detectar e resolver problemas de segurança de forma mais ágil.

Em paralelo, a SAP também divulgou correções para vulnerabilidades críticas no NetWeaver ABAP Server e ABAP Platform, identificadas como CVE-2025-0070 e CVE-2025-0066, com pontuação CVSS de 9,9. Essas falhas permitem que invasores autenticados explorem verificações de autenticação inadequadas, escalem privilégios e acessem dados restritos devido a controles de acesso fracos. A SAP recomendou prioridade na aplicação das correções para proteger seus ambientes. Esses incidentes reforçam a importância de manter sistemas atualizados e implementar práticas rigorosas de segurança para minimizar riscos cibernéticos e proteger informações confidenciais.