Ivanti 推出了安全更新，以解决影响 Avalanche、应用控制引擎和端点管理器 (EPM) 的若干安全漏洞，其中包括可能导致信息泄露的四个关键漏洞。

所有四个关键安全漏洞（CVSS 评级为 9.8 分（满分 10.0））都源于 EPM，涉及绝对路径遍历实例，允许未经认证的远程攻击者泄漏敏感信息。这些漏洞如下

CVE-2024-10811CVE-2024-13161CVE-2024-13160 和CVE-2024-13159

这些缺陷影响 EPM 2024 11 月安全更新及以前的版本，以及 2022 SU6 11 月安全更新及以前的版本。这些问题已在 EPM 2024 年 1 月至 2025 年 1 月安全更新和 EPM 2022 SU6 年 1 月至 2025 年 1 月安全更新中得到解决。

Horizon3.ai 安全研究员 Zach Hanley 发现并报告了所有四个相关漏洞。

Ivanti 还修补了 Avalanche 6.4.7 之前版本和 Application Control Engine 10.14.4.0 之前版本中的多个高严重性漏洞，这些漏洞可能允许攻击者绕过身份验证、泄漏敏感信息和绕过应用程序阻止功能。

该公司表示，没有证据表明这些漏洞正在被恶意利用，而且已经加强了内部扫描和测试程序，以便及时发现并解决安全问题。

SAP在发布修补程序以解决其NetWeaver ABAP服务器和ABAP平台中的两个关键漏洞（CVE-2025-0070和CVE-2025-0066，CVSS分数：9.9）的同时，也发布了这一进展。

SAP 公司在 2025 年 1 月发布的公告中说：“SAP 强烈建议客户访问支持门户网站并优先应用补丁程序，以保护其 SAP 环境。”