{ "document" : { "aggregate_severity" : { "text" : "hoch" }, "category" : "csaf_base", "csaf_version" : "2.0", "distribution" : { "tlp" : { "label" : "WHITE", "url" : "https://www.first.org/tlp/" } }, "lang" : "de-DE", "notes" : [ { "category" : "legal_disclaimer", "text" : "Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen." }, { "category" : "description", "text" : "Ivanti Avalanche ist eine Mobile Device Management Lösung.", "title" : "Produktbeschreibung" }, { "category" : "summary", "text" : "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in Ivanti Avalanche ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen.", "title" : "Angriff" }, { "category" : "general", "text" : "- Windows\n- Sonstiges", "title" : "Betroffene Betriebssysteme" } ], "publisher" : { "category" : "other", "contact_details" : "csaf-provider@cert-bund.de", "name" : "Bundesamt für Sicherheit in der Informationstechnik", "namespace" : "https://www.bsi.bund.de" }, "references" : [ { "category" : "self", "summary" : "WID-SEC-W-2023-3198 - CSAF Version", "url" : "https://wid.cert-bund.de/.well-known/csaf/white/2023/wid-sec-w-2023-3198.json" }, { "category" : "self", "summary" : "WID-SEC-2023-3198 - Portal Version", "url" : "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2023-3198" }, { "category" : "external", "summary" : "Ivanti Security Advisory vom 2023-12-20", "url" : "https://forums.ivanti.com/s/article/Avalanche-6-4-2-Security-Hardening-and-CVEs-addressed" } ], "source_lang" : "en-US", "title" : "Ivanti Avalanche: Mehrere Schwachstellen", "tracking" : { "current_release_date" : "2023-12-20T23:00:00.000+00:00", "generator" : { "date" : "2024-08-15T18:03:04.250+00:00", "engine" : { "name" : "BSI-WID", "version" : "1.3.5" } }, "id" : "WID-SEC-W-2023-3198", "initial_release_date" : "2023-12-20T23:00:00.000+00:00", "revision_history" : [ { "date" : "2023-12-20T23:00:00.000+00:00", "number" : "1", "summary" : "Initiale Fassung" } ], "status" : "final", "version" : "1" } }, "product_tree" : { "branches" : [ { "branches" : [ { "category" : "product_name", "name" : "Ivanti Avalanche < 6.4.2", "product" : { "name" : "Ivanti Avalanche < 6.4.2", "product_id" : "T031786", "product_identification_helper" : { "cpe" : "cpe:/a:ivanti:avalanche:6.4.2" } } } ], "category" : "vendor", "name" : "Ivanti" } ] }, "vulnerabilities" : [ { "cve" : "CVE-2023-46804", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46804" }, { "cve" : "CVE-2023-46803", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46803" }, { "cve" : "CVE-2023-46266", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46266" }, { "cve" : "CVE-2023-46265", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46265" }, { "cve" : "CVE-2023-46264", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46264" }, { "cve" : "CVE-2023-46263", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46263" }, { "cve" : "CVE-2023-46262", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46262" }, { "cve" : "CVE-2023-46261", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46261" }, { "cve" : "CVE-2023-46260", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46260" }, { "cve" : "CVE-2023-46259", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46259" }, { "cve" : "CVE-2023-46258", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46258" }, { "cve" : "CVE-2023-46257", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46257" }, { "cve" : "CVE-2023-46225", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46225" }, { "cve" : "CVE-2023-46224", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46224" }, { "cve" : "CVE-2023-46223", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46223" }, { "cve" : "CVE-2023-46222", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46222" }, { "cve" : "CVE-2023-46221", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46221" }, { "cve" : "CVE-2023-46220", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46220" }, { "cve" : "CVE-2023-46217", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46217" }, { "cve" : "CVE-2023-46216", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-46216" }, { "cve" : "CVE-2023-41727", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2023-41727" }, { "cve" : "CVE-2021-22962", "notes" : [ { "category" : "description", "text" : "In Ivanti Avalanche existieren mehrere Schwachstellen aufgrund von Pufferüberläufen, Nullzeiger-Dereferenzierung, Divide by Zero, Datei-Upload und SSRF-Problemen. Ein Angreifer kann diese Schwachstellen ausnutzen, um Code auszuführen, einen Denial of Service zu verursachen, Informationen preiszugeben und Sicherheitsvorkehrungen zu umgehen. Für eine erfolgreiche Ausnutzung einiger dieser Schwachstellen ist eine Anmeldung oder Benutzerinteraktion erforderlich." } ], "release_date" : "2023-12-20T23:00:00.000+00:00", "title" : "CVE-2021-22962" } ] }