Albisteak

Ivanti Endpoint Manager Mobile-n aktiboki ustiatutako ahultasunak

Argitalpen-data: 

Laburpen exekutiboa

Ivanti Endpoint Manager Mobile 12.5.0.0 bertsioan eta aurreko bertsioetan API osagaian identifikatutako bi kalteberatasun daude. Larriagoa den ahultasuna, "Altua" gisa kalifikatua (CVSS 7.2), urruneko kodea exekutatzea ahalbidetzen du. Mehatxu honek autentifikatutako erasotzaileei aukera ematen die API eskaera manipulatuen bidez ausazko kodea exekutatzeko. Bigarren kalteberatasuna, "Ertaina" (CVSS 5.3) gisa kalifikatua, autentifikazioaren saihespen bati dagokio. Honek esan nahi du erasotzaileek API bidez babestutako baliabideetara sar daitezkeela beharrezko kredentzialik gabe, eta mehatxu moderatu bat da, baina behar bezala arindu behar dena. Bi ahultasunek erabiltzaileen datuen segurtasuna eta pribatutasuna arriskuan jartzen dute.

Eragindako baliabideak

  • Ivanti Endpoint Manager Mobile (EPMM)

Azterketa teknikoa

  • CVE-2025-4428: Ivanti Endpoint Manager Mobile 12.5.0.0 bertsioan eta aurrekoetan, API osagaian urruneko kodearen exekuzioaren ahultasun bat dago. Plataforma zehaztugabeetan, autentifikatutako erasotzaileek API eskaera manipulatuen bidez ausazko kodea exekuta dezakete.
    • CWE-94
    • CVSS: 7.2 (altua)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
    • Esplotazioa: Antzemanda
  • CVE-2025-4427: Ivanti Endpoint Manager Mobile 12.5.0.0 bertsioan eta aurrekoetan, API osagaian autentifikazioaren saihespenaren ahultasun bat dago. Honek erasotzaileei aukera ematen die APIaren bidez babestutako baliabideetara beharrezko kredentzialik gabe sartzeko.
    • CWE-288
    • CVSS: 5.3 (ertaina)
    • CVSS Bektorea: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
    • Esplotazioa: Antzemanda

Arintzea/Konponbidea

Ivanti Endpoint Manager Mobile (EPMM) produktuaren segurtasun-arazo identifikatuetarako, fabrikatzaileak gomendatzen du mitigazioak bere jarraibideen arabera aplikatzea eta hodeiko zerbitzuetarako BOD 22-01 gidalerroa jarraitzea. Mitigazioak ez badaude eskuragarri, produktua erabiltzea etetea gomendatzen da. Xehetasun gehiago aurki daitezke esteka hauetan: Ivanti Segurtasun-Oharra lehen arazoari dagokionez, eta Ivanti Segurtasun-Oharra bigarren arazoari dagokionez.

Erreferentzia gehigarriak