CVSS: 9.8EPSS: 1%CPEs: 3EXPL: 0CVE-2019-10651
https://notcve.org/view.php?id=CVE-2019-10651
An issue was discovered in the Core Server in Ivanti Endpoint Manager (EPM) 2017.3 before SU7 and 2018.x before 2018.3 SU3, with remote code execution. In other words, the issue affects 2017.3, 2018.1, and 2018.3 installations that lack the April 2019 update. Se detectó un problema en el servidor Core en Ivanti Endpoint Manager (EPM) instalaciones 2017.3 anteriores a SU7 y instalaciones 2018.x anteriores a 2018.3 SU3, con ejecución de código remota. En otras palabras, el problema afecta a las instalaciones 2017.3, 2018.1 y 2018.3 que carecen de la actualización de abril de 2019. • https://forums.ivanti.com/s/article/Security-Alert-Ivanti-Endpoint-Manager-April-2019 •
CVSS: 8.8EPSS: 0%CPEs: 3EXPL: 0CVE-2017-11463
https://notcve.org/view.php?id=CVE-2017-11463
In Ivanti Service Desk (formerly LANDESK Management Suite) versions between 2016.3 and 2017.3, an Unrestricted Direct Object Reference leads to referencing/updating objects belonging to other users. In other words, a normal user can send requests to a specific URI with the target user's username in an HTTP payload in order to retrieve a key/token and use it to access/update objects belonging to other users. Such objects could be user profiles, tickets, incidents, etc. En Ivanti Service Desk (anteriormente LANDESK Management Suite) entre las versiones 2016.3 y 2017.3, una referencia directa a objetos no restringida conduce a la referencia/actualización de objetos que pertenecen a otros usuarios. En otras palabras, un usuario normal puede enviar peticiones a un URI específico con el nombre de usuario del usuario objetivo en una carga útil HTTP para recuperar una clave/token y emplearla para acceder/actualizar objetos pertenecientes a otros usuarios. • https://community.ivanti.com/docs/DOC-66252 https://gist.github.com/lazyhack3r/439e92419c552b5dc82b2f5e832c8bfb • CWE-275: Permission Issues •