Albisteak

Ahultasunak Ivanti Workspace Control-en

Argitalpen-data: 

Laburpen exekutiboa

Ivanti Workspace Control sistemaren barruan identifikatutako ahultasunak, denak larritasu handiarekin (CVSS puntuazioak 7.3 eta 8.8), tokiko erabiltzaile baten autentifikazioa ahalbidetzen dute, SQL kredentzialak eta 10.19.10.0 bertsioa baino lehenagoko bertsioetan gordetako ingurunearen pasahitzak deszifratzen. Ahultasun hauen eragina larria da, SQL datu-baseetan gordetako informazio sentikorra eskuratzeko baimenik gabeko sarbidea eta lan ingurunearen aldaketa ahalbidetzen du. Larritasunagatik, arintze neurriak azkar ezartzea beharrezkoa da. Honek sistemaren eguneraketak edo segurtasun protokoloetan aldaketak beharrezko izan ditzake, kredentzialen deszifratzea ekiditeko.

Eragindako baliabideak

  • Ivanti Workspace Control (10.19.0.0 eta aurreko bertsioak)

Azterketa teknikoa

  • CVE-2025-5353: Ivanti Workspace Control-en kodifikatutako gakoa, 10.19.10.0 bertsioa baino lehen, SQL kredentzialak gordetakoak deszifratzeko aukera ematen dio tokiko erabiltzaile bati.
    • CWE-321
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-22455: Ivanti Workspace Control-en kodifikatutako gakoa, 10.19.0.0 bertsioa baino lehen, SQL kredentzialak gordetakoak deszifratzeko aukera ematen dio tokiko erabiltzaile bati.
    • CWE-321
    • CVSS: 8.8 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Explotazioa: Ez da antzeman
  • CVE-2025-22463: Finkoki kodifikatutako gakoa, Ivanti Workspace Control-en, 10.19.10.0 bertsioa baino lehen, gordetako ingurunearen pasahitza deszifratzeko aukera ematen dio tokiko erabiltzaile bati.
    • CWE-321
    • CVSS: 7.3 (alta)
    • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
    • Explotazioa: Ez da antzeman

Arintzea/Konponbidea

Ivanti fabrikatzaileak eguneraketak argitaratu ditu Ivanti Workspace Control produkturako, hiru ahultasun larri konpontzen dituztenak. Segurtasun arazo hauek konpontzeko, gomendatzen da Ivanti Workspace Control 2025.2 (10.19.x.x) arkitektura berriera migratzea, ahultasun hauek konpontzen dituenak. Agentea, berbidalketa zerbitzaria edo Kontsola osagaia instalatu aurretik, ShieldAPI-k erabilitako TLS ziurtagirian konfiantza izan behar duzu. Ziurtagirian konfiantza izan dezakezu, Konfiantzazko Erakunde Ziurtagiri Erraizetara inportatuz, Máquina Lokalean osagaiak instalatzen direnean. Bezeroek ez badute IWC arkitektura berriera eguneratu nahi, bizitza-amaierako egoeragatik, Ivanti User Workspace Manager-era migratzeko aukera dute. IWC arkitektura berriera nola migratu zehazten dituzten argibideak fabrikatzaileak emandako estekan aurki daitezke.

Erreferentzia gehigarriak