Ivanti a publié des mises à jour de sécurité pour corriger 13 failles de sécurité critiques dans sa solution de gestion des appareils mobiles d’entreprise Avalanche.
Comme l’a expliqué Ivanti mercredi, ces failles de sécurité sont dues à des faiblesses de débordement de mémoire tampon basées sur la pile ou le tas de WLAvalancheService, signalées par les chercheurs en sécurité de Tenable et l’initiative Zero Day de Trend Micro.
« Pour corriger les failles de sécurité […], il est fortement recommandé de télécharger le programme d’installation d’Avalanche et de mettre à jour vers la dernière version d’Avalanche 6.4.2. Ces vulnérabilités affectent toutes les versions supportées des produits – Avalanche versions 6.3.1 et supérieures. Les versions antérieures sont également à risque ».
En août, Ivanti a corrigé deux autres débordements critiques de la mémoire tampon d’Avalanche, désignés collectivement sous le nom de CVE-2023-32560, qui pouvaient entraîner des plantages et une exécution de code arbitraire en cas d’exploitation réussie.
Des pirates exploitent une faille critique d’Apache Struts en utilisant un PoC public. Sophos rétroporte un correctif RCE après des attaques sur des pare-feux non supportés.
50 000 sites WordPress exposés à des attaques RCE en raison d’un bogue critique dans un plugin de sauvegarde.
