Ivanti 透露，影响云服务设备 （CSA） 的一个关键安全漏洞已被广泛利用。

分配了 CVE 标识符 CVE-2024-8963 的新漏洞的 CVSS 评分为 9.4 分（满分 10.0 分）。该公司在 CSA 4.6 补丁 519 和 CSA 5.0 中“顺便解决了”这个问题。

该公司在周四的公告中表示：“Ivanti CSA 4.6 补丁 519 之前的路径遍历允许未经身份验证的远程攻击者访问受限功能。

它还指出，该漏洞可能与 CVE-2024-8190（CVSS 评分：7.2）相关联，允许攻击者绕过管理员身份验证并在设备上执行任意命令。

Ivanti 进一步警告说，在披露针对 CVE-2024-8190 的主动利用尝试几天后，它“知道被此漏洞利用的客户数量有限”。

这表明活动背后的威胁行为者正在结合这两个缺陷，以便在易受攻击的设备上实现代码执行。

这一发展促使美国网络安全和基础设施安全局 （CISA） 将该漏洞添加到其已知利用漏洞 （KEV） 目录中，要求联邦机构在 2024 年 10 月 10 日之前应用修复程序。

强烈建议用户尽快升级到 CSA 版本 5.0，因为版本 4.6 已结束生命周期，不再受支持。