Η Ivanti ανακοίνωσε πρόσφατα τις τελευταίες ενημερώσεις ασφαλείας της, οι οποίες αποσκοπούν στην αντιμετώπιση δύο τρωτών σημείων μεσαίας σοβαρότητας στην πλατφόρμα της, Ivanti Neurons for ITSM (N-ITSM). Αυτή η εσωτερική πλατφόρμα διαχείρισης υπηρεσιών πληροφορικής έχει σημαντική χρήση σε πολλές επιχειρήσεις, και η ασφάλεια της είναι κρίσιμη.
Η εταιρεία επισημαίνει ότι μέχρι την ώρα της ανακοίνωσης, δεν έχουν εντοπιστεί ενεργές εκμεταλλεύσεις των συγκεκριμένων ευπαθειών. Τα ζητήματα αυτά ανακαλύφθηκαν μέσω του προγράμματος υπεύθυνης αποκάλυψης της Ivanti και έχουν ήδη επιδιορθωθεί στην έκδοση 2025.4 του λογισμικού.
CVE-2026-4913: Λάθος ακατάλληλης προστασίας διαδρομής
Η πρώτη ευπάθεια που αναφέρθηκε είναι η CVE-2026-4913, η οποία έχει βαθμολογία CVSS 5,7 και κατατάσσεται στο CWE-424, δηλαδή σε αποτυχία μηχανισμού προστασίας. Το πρόβλημα προέρχεται από την ακατάλληλη προστασία μιας εναλλακτικής διαδρομής σε εκδόσεις του N-ITSM προγενέστερες της 2025.4.
Η συγκεκριμένη ευπάθεια επιτρέπει σε έναν απομακρυσμένο επιτιθέμενο να συνεχίσει να έχει πρόσβαση στο σύστημα, ακόμη και εάν ο λογαριασμός του κλείσει από διαχειριστή. Αυτό είναι ιδιαίτερα επικίνδυνο για οργανισμούς όπου η άμεση ανάκληση πρόσβασης είναι κρίσιμη, ειδικά σε περιπτώσεις περιστατικών ασφάλειας ή αποχαιρετισμού εργαζομένων.
Η ευπάθεια αυτή απαιτεί χαμηλά προνόμια και την ενεργή συμμετοχή του χρήστη για να εκδηλωθεί, γεγονός που αποδεικνύει τη μεσαία σοβαρότητά της.
CVE-2026-4914: Το αποθηκευμένο XSS επιτρέπει την κλοπή δεδομένων μεταξύ συνεδριών
Η δεύτερη ευπάθεια είναι η CVE-2026-4914, η οποία αποκαλείται αποθηκευμένη δέσμη ενεργειών μεταξύ τοποθεσιών (XSS) με βαθμολογία CVSS 5,4. Το ελάττωμα αυτό επιτρέπει σε απομακρυσμένους και πιστοποιημένους επιτιθέμενους να εισάγουν κακόβουλους κώδικες που θα εκτελούνται στα περιβάλλοντα σύνδεσης άλλων χρηστών.
Αυτό έχει σοβαρές συνέπειες, καθώς ένας εισβολέας μπορεί να αποκτήσει ευαίσθητες πληροφορίες, όπως διαπιστευτήρια ή δεδομένα ITSM, μόνο και μόνο μέσω της αλληλεπίδρασης με τον χρήστη. Οι συνέπειες των ευπαθειών αυτών μπορεί να επηρεάσουν πολλές περιόδους σύνδεσης.
Και οι δύο αυτές ευπάθειες επηρεάζουν την έκδοση 2025.3 και όλες τις προγενέστερες εκδόσεις της πλατφόρμας N-ITSM, τόσο στις τοπικές όσο και στις cloud applications.
- Οι πελάτες της τοπικής εγκατάστασης πρέπει να αναβαθμιστούν μη αυτόματα στην έκδοση 2025.4, διαθέσιμη μέσω του Συστήματος Άδειας Χρήσης Ivanti (ILS).
- Οι πελάτες cloud δεν χρειάζεται να κάνουν τίποτα, καθώς η Ivanti έχει ήδη εφαρμόσει τις επιδιορθώσεις σε όλα τα περιβάλλοντα cloud στις 12 Δεκεμβρίου 2025.
Η Ivanti προτρέπει όλους τους πελάτες για άμεση εφαρμογή της ενημέρωσης 2025.4. Μέχρι στιγμής, δεν έχουν παρατηρηθεί δημόσιες εκμεταλλεύσεις. Οι οργανισμοί που χρησιμοποιούν παλαιότερες εκδόσεις θα πρέπει να αναβαθμίσουν προσεκτικά, δεδομένου του κινδύνου που συνεπάγεται η παραμονή ευπάθων συστημάτων στην παραγωγή.
