Ivanti закрыла две критические уязвимости в платформе Xtraction

Ivanti

Компания Ivanti выпустила обновление безопасности для продукта Ivanti Xtraction, устраняющее одну уязвимость средней степени опасности и одну - высокой. Патч доступен в версии 2026.2.1 для всех пользователей, работающих на сборках 2026.2 и более ранних. На момент публикации бюллетеня сведения об эксплуатации этих проблем в реальных атаках отсутствуют, сообщил производитель.

Детали уязвимостей

Первая из обнаруженных проблем получила идентификатор CVE-2026-14902 и оценку 4,0 балла по шкале CVSS. Она представляет собой уязвимость типа открытого перенаправления (open redirect) в Ivanti Xtraction до версии 2026.2.1. Удаленный неаутентифицированный злоумышленник может воспользоваться ей для перенаправления пользователей на произвольные внешние URL-адреса. Условием для эксплуатации является необходимость взаимодействия с жертвой: пользователь должен перейти по специально сформированной ссылке. В случае успеха атакующий может направить сотрудника организации на вредоносный сайт с целью фишинга или загрузки вредоносного программного обеспечения. Сложность атаки при этом оценивается производителем как высокая, что несколько снижает практический риск.

Вторая уязвимость, CVE-2026-14903, классифицирована как высокая с оценкой 7,7 балла. Она связана с обходом пути (path traversal) в Ivanti Xtraction до версии 2026.2.1. Для её эксплуатации атакующему требуется действующая учетная запись на целевом сервере, после чего удаленный пользователь может читать произвольные файлы за пределами корневого каталога веб-приложения. Потенциальная атака может привести к раскрытию конфигурационных файлов, данных аутентификации, ключей шифрования и другой критической для безопасности информации, хранящейся на сервере. Утечка таких данных способна стать стартовой точкой для дальнейшего продвижения внутри инфраструктуры.

Обе проблемы были выявлены сторонними исследователями в рамках программы ответственного раскрытия уязвимостей Ivanti. Производитель не предоставил деталей о том, какой именно функционал продукта затронут и как долго уязвимости могли оставаться необнаруженными. Тем не менее, тот факт, что для эксплуатации CVE-2026-14903 требуется аутентификация, несколько сужает круг потенциальных атакующих: внешний злоумышленник не сможет напрямую использовать эту проблему без предварительного получения доступа к системе.

Ivanti Xtraction - это платформа для бизнес-аналитики и создания панелей мониторинга, которая часто используется в корпоративной среде для агрегации данных из различных источников, включая системы управления ИТ-услугами и безопасности. В связи с этим доступ злоумышленника к данным с сервера Xtraction может представлять особую ценность, поскольку система обычно обрабатывает информацию о конфигурации инфраструктуры, уязвимостях и учетных записях.

Решение проблемы заключается в обновлении продукта до версии 2026.2.1, которое доступно для загрузки через Ivanti Launchpad Service (ILS). Компания не предоставила временных мер защиты или обходных путей, следовательно, полное обновление является единственным надежным способом устранения рисков. Организациям, использующим Xtraction, настоятельно рекомендуется провести обновление в кратчайшие сроки, особенно если доступ к системе осуществляется через интернет или для широкого круга внутренних пользователей.

Два раскрытых дефекта продолжают тенденцию прошлых лет: платформы Ivanti неоднократно становились мишенью для злоумышленников, и компания регулярно выпускает патчи для закрытия подобных брешей. Хотя в данном случае информация об активной эксплуатации отсутствует, ранее выявленные уязвимости в продуктах вендора оперативно включались в наборы эксплойтов, что делает промедление с установкой обновлений неоправданным риском.

Ссылки

Комментарии: 0