Enterprise softverski provajderi Ivanti i Zoom su u utorak objavili zakrpe za više ranjivosti u svojim proizvodima, uključujući i one visokog nivoa koje su mogle omogućiti proizvoljno pisanje fajlova i izvršavanje koda.
Ivanti je objavio ispravke za tri greške u Ivanti Endpoint Manageru (EMP) koje su neautentifikovani hakeri mogli zloupotrijebiti za remote code execution ili lokalni akteri za eskalaciju privilegija.
Dvije ranjivosti, označene kao CVE-2025-9713 i CVE-2025-11622, otkrivene su u oktobru, nakon što je Trend Micro Zero Day Initiative (ZDI) objavio 13 neispravljenih EMP propusta.
Ove ranije otkrivene greške opisane su kao path traversal i insecure deserialization problemi. Treća, CVE-2025-10918, odnosi se na slabe podrazumijevane dozvole.
Ivanti navodi da su sve EMP verzije prije 2024 SU4 pogođene ovim ranjivostima. Korisnicima se preporučuje da što prije ažuriraju svoje EMP instalacije.
„Nismo upoznati sa tim da je ijedan korisnik bio meta eksploatacije ovih ranjivosti u trenutku objave“, navodi Ivanti u svojoj preporuci.
U utorak je Zoom objavio devet savjetodavnih biltena u kojima detaljiše tri ranjivosti visokog i šest srednjeg nivoa u svojim mobilnim i desktop aplikacijama.
Ranjivosti visokog nivoa, označene kao CVE-2025-62484, CVE-2025-64741 i CVE-2025-64740, mogle su dovesti do eskalacije privilegija. Prve dvije utiču na Zoom aplikacije za iOS i Android, dok je treća identifikovana u Zoom Workplace VDI Clientu za Windows.
Pet od novoispravljenih ranjivosti srednjeg nivoa može rezultirati curenjem informacija. One utiču na Zoom desktop aplikacije za Linux, macOS i Windows.
Šesta je XSS propust u Zoom Workplace i Meeting SDK-u za Windows, koji se može zloupotrijebiti bez autentifikacije, utičući na integritet aplikacije.
Zoom ne navodi da su bilo koje od ovih ranjivosti aktivno eksploatisane.
Izvor: SecurityWeek
