Ivantiは火曜日、Endpoint Manager(EPM)に存在する4件の脆弱性に対するパッチを公開したと発表した。その中には、リモートコード実行(RCE)につながる重大度クリティカルの欠陥も含まれている。
このセキュリティ欠陥はCVE-2025-10573(CVSSスコア 9.6)として追跡されており、認証なしで悪用可能な、保存型クロスサイトスクリプティング(XSS)問題として説明されている。
Ivanti EPMは、組織向けにリモート管理、脆弱性スキャン、および接続されたシステムの管理機能を提供しており、デバイスのスキャンデータを取り込むAPIを備えている。
このクリティカルなEPMの脆弱性により、攻撃者は悪意あるペイロードを含むデバイススキャンデータを送信でき、そのデータが処理されてWebダッシュボードに埋め込まれる可能性があると、8月にこのバグを発見・報告したRapid7は述べている。
管理者がダッシュボードインターフェイスにアクセスしてデバイス情報を閲覧すると、ペイロードがトリガーされてクライアント側のJavaScriptが実行され、攻撃者は管理者セッションを乗っ取ることが可能になると、同社は説明している。
このバグは、3件の高重大度のバグにも対処したIvanti EPM 2024 SU4 SR1のリリースによって修正された。
1つ目のCVE-2025-13659は、「動的に管理されるコードリソースの不適切な制御」と説明されており、リモートの未認証の攻撃者がサーバー上に任意のファイルを書き込める可能性がある。
このセキュリティ欠陥を悪用されるとRCEにつながる可能性があるが、ユーザーの操作が必要だと、Ivantiはアドバイザリの中で述べている。
2つ目の高重大度の問題はCVE-2025-13661であり、意図されたディレクトリ外に任意のファイルを書き込むためにリモートから悪用可能なパストラバーサルの欠陥だ。その悪用には認証が必要となる。
3つ目の高重大度の脆弱性は、EPMのパッチ管理コンポーネントにおける「暗号署名の不適切な検証」と説明されている。
CVE-2025-13662として追跡されているこの脆弱性は、リモートの未認証の攻撃者によるRCEを可能にするが、ユーザーの操作が必要となる。
Ivantiは、これらの脆弱性が実際の攻撃で悪用されているという情報は把握していないと述べている。ユーザーには、可能な限り速やかにIvanti EPMの最新バージョンへアップデートすることが推奨されている。
翻訳元: https://www.securityweek.com/ivanti-epm-update-patches-critical-remote-code-execution-flaw/
