Ivanti Endpoint Manager (EPM) ürününde kritik bir güvenlik açığı olduğunu duyurdu. Bu açıklık, CVE-2023-39336 takip edilen bir SQL enjeksiyon hatası olarak tanımlanıyor. Bu güvenlik açığı, iç ağa erişimi olan bir saldırganın, kimlik doğrulaması gerekmeden keyfi SQL sorguları çalıştırmasına ve çıktıları almasına olanak tanıyor. EPM’de çalışan cihazların saldırgan tarafından ele geçirilmesine yol açabilecek bu açıklık, özellikle SQL Express kullanıldığında, ana sunucuda uzaktan kod yürütülmesine (RCE) neden olmaktadır.

CVE-2023-39336, EPM 2022’nin Service Update 4 ve daha önceki tüm sürümleri etkiliyor, EPM 2021 sürümleri de dahil. Ivanti, bu güvenlik açığını EPM 2022 Service update 5 ile düzeltmiştir.