【漏洞通告】Ivanti Avalanche XXE漏洞（CVE-2024-38653）

文章预览

一、漏洞 概述 漏洞名称 Ivanti Avalanche XXE漏洞（CVE-2024-38653）     CVE   ID CVE-2024-38653 漏洞类型 XXE 发现时间 2024-08-14 漏洞评分 8.2 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 低 用户交互 无 PoC/EXP 已公开 在野利用 未发现 Ivanti Avalanche是美国Ivanti公司开发的一套企业移动设备管理系统（MDM），旨在提供全面的设备和应用管理解决方案，帮助企业有效地管理其移动设备和技术资产，提高运营效率和安全性。 2024年8月30日，启明星辰集团VSRC监测到Ivanti Avalanche XXE漏洞（CVE-2024-38653）的技术细节及PoC在互联网上公开，该漏洞的CVSS评分为8.2。 Ivanti Avalanche多个受影响版本中存在XML外部实体引用漏洞，由于XMLInputFactory默认配置为处理 XML 数据中的外部实体以及PList.decodeToMap方法在处理XML输入时未能明确禁用外部实体的处理，从而导致存在XXE漏洞，未经身 ………………………………