CVE-2024-38653
CVE-2024-38653
En resumen
Una falla en Ivanti Avalanche 6.3.1 permite a atacantes leer cualquier archivo del servidor enviando solicitudes XML malformadas, sin necesidad de autenticarse. Esto puede exponer datos sensibles como archivos de configuración o credenciales.
Detalle técnico
Vulnerabilidad de inyección XXE (XML External Entity) en el componente SmartDeviceServer permite a atacantes remotos no autenticados leer archivos arbitrarios mediante payloads XML maliciosos. La explotación requiere acceso de red al endpoint afectado sin autenticación; el éxito resulta en divulgación de información de archivos sensibles del servidor.
Resumen generado y traducido por IA a partir de la descripción oficial.
XXE in SmartDeviceServer in Ivanti Avalanche 6.3.1 allows a remote unauthenticated attacker to read arbitrary files on the server.
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
Productos afectados
Ivanti · Avalanche¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →