多个 Ivanti Endpoint Mobile Manager 存在远程执行代码漏洞

广泛使用的移动设备管理 （MDM） 解决方案 Ivanti Endpoint Manager Mobile （EPMM） 中发现了严重的安全漏洞，使组织面临未经身份验证的远程代码执行 （RCE） 风险。

这些漏洞被跟踪为 CVE-2025-4427 和 CVE-2025-4428，已在野外被积极利用，促使安全机构和 Ivanti 本身紧急呼吁进行修补。

Ivanti Endpoint Manager 漏洞

根据 WatchTowr 报告，这两个漏洞在链接时允许攻击者绕过身份验证并在受影响的系统上执行任意代码：

CVE-2025-4427 （CVSS 5.3）：一个身份验证绕过缺陷，允许未经身份验证的攻击者在没有有效凭证的情况下访问受保护的 API 端点。

CVE-2025-4428 （CVSS 7.2）：一个远程代码执行漏洞，允许攻击者在目标系统上运行任意代码，利用 API 请求中用户控制的输入来注入和执行 Java 表达式语言 （EL） 负载。

这些漏洞存在于 12.5.0.0 之前（包括 12.5.0.0）之前的所有本地 Ivanti EPMM 版本中，版本 11.12.0.5、12.3.0.2、12.4.0.2 和 12.5.0.1 中提供了补丁。

攻击链利用端点中的缺陷。在这里，参数验证不当允许攻击者注入恶意 Java EL 表达式。/api/v2/featureusageformat

在易受攻击的版本中，此输入直接传递到错误消息中，这些错误消息由 Spring Framework 的消息源处理，从而导致在服务器上执行代码。

身份验证绕过 （CVE-2025-4427） 是由于应用程序安全路由中的错误配置而引起的，允许攻击者在未经事先身份验证的情况下访问易受攻击的端点。

该报告指出，这个“作顺序”问题允许恶意请求触发 RCE 漏洞 （CVE-2025-4428），即使未经身份验证也是如此。

野外开发

Ivanti 和多个网络安全机构已经证实，这些漏洞受到了有限的、有针对性的利用，随着概念验证代码的公开传播，很有可能发生更广泛的攻击。

像 EPMM 这样的 MDM 解决方案可以广泛访问托管设备，如果遭到入侵，恶意软件或勒索软件的大规模部署将构成真正的威胁。

这些漏洞源于 EPMM 中两个开源库的集成，而不是 Ivanti 的专有代码。这突出了与企业软件中的第三方依赖项相关的风险。

利用此漏洞可让攻击者安装程序、访问敏感数据或破坏整个组织的设备管理。

Ivanti 已发布补丁，并强烈敦促所有客户立即更新到最新的修复版本。无法升级的组织应咨询 Ivanti 的公告以获取临时缓解措施，并密切监控是否有泄露迹象。

鉴于漏洞利用代码的关键性质和公开可用性，未修补的系统面临迫在眉睫的风险。

包括 NHS、ASD 和 CERT-EU 在内的机构都响应了这一紧迫性，建议立即采取行动防止广泛利用。

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

原文始发于微信公众号（网安百色）：多个 Ivanti Endpoint Mobile Manager 存在远程执行代码漏洞