Resumen ejecutivo
Ivanti ha identificado múltiples vulnerabilidades críticas en Endpoint Manager Mobile (EPMM) y Neurons for MDM, que afectan a versiones anteriores a 12.6.0.2, 12.5.0.4 y 12.4.0.4. Tres de estas vulnerabilidades (CVSS 7.2) permiten la inyección de comandos del sistema operativo por parte de atacantes autenticados con privilegios de administrador, lo que podría resultar en la ejecución remota de código malicioso y el control total del sistema afectado. Además, se ha detectado una vulnerabilidad de “path traversal” (CVSS 4.7) que permite escribir en ubicaciones no autorizadas del disco, exponiendo datos sensibles. Aunque no se ha confirmado explotación activa, se recomienda aplicar urgentemente las actualizaciones disponibles para mitigar estos riesgos. Las versiones corregidas están disponibles en el portal de descargas de Ivanti.
Recursos afectados
- Ivanti Neurons for MDM (R118 y anteriores)
- Ivanti Endpoint Manager Mobile (EPMM) (12.6.0.1, 12.5.0.2, 12.4.0.3 y todos los anteriores)
Análisis técnico
- CVE-2025-10243: La inyección de comandos del sistema operativo en el panel de administración de Ivanti EPMM antes de las versiones 12.6.0.2, 12.5.0.4 y 12.4.0.4 permite a un atacante remoto autenticado con privilegios de administrador ejecutar código de forma remota. Este tipo de vulnerabilidad puede comprometer gravemente la seguridad del sistema afectado. Para explotar esta vulnerabilidad, el atacante necesita tener acceso administrativo al panel de administración.
- CWE-78
- CVSS: 7.2 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2025-10242: Una vulnerabilidad de inyección de comandos del sistema operativo en el panel de administración de Ivanti EPMM antes de las versiones 12.6.0.2, 12.5.0.4 y 12.4.0.4 permite a un atacante remoto autenticado con privilegios de administrador ejecutar código de forma remota. El impacto potencial incluye la toma de control del sistema afectado. Para explotar esta vulnerabilidad, el atacante debe contar con acceso autenticado y privilegios de administrador.
- CWE-78
- CVSS: 7.2 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2025-10985: Una vulnerabilidad de inyección de comandos del sistema operativo en el panel de administración de Ivanti EPMM antes de las versiones 12.6.0.2, 12.5.0.4 y 12.4.0.4 permite que un atacante remoto autenticado con privilegios de administrador ejecute código de forma remota. El impacto potencial incluye el control total del sistema afectado. Para explotar esta vulnerabilidad, el atacante debe tener acceso con privilegios de administrador.
- CWE-78
- CVSS: 7.2 (alta)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
- Explotación: No detectada
- CVE-2025-10986: Una vulnerabilidad de "path traversal" en el panel de administración de Ivanti EPMM antes de la versión 12.6.0.2, 12.5.0.4 y 12.4.0.4 permite a un atacante remoto autenticado con privilegios de administrador escribir datos en ubicaciones no deseadas en el disco. Esto podría llevar a la alteración o exposición de información crítica. La explotación requiere que el atacante tenga acceso administrativo al sistema.
- CWE-22
- CVSS: 4.7 (media)
- Vector CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L
- Explotación: No detectada
Mitigación / Solución
Ivanti recomienda actualizar Ivanti Neurons for MDM a la versión R119, que resuelve las vulnerabilidades previamente mencionadas. Además, para los productos Ivanti Endpoint Manager Mobile (EPMM), se sugiere actualizar a las versiones 12.6.0.2, 12.5.0.4 y 12.4.0.4, disponibles en el portal de descargas (se requiere inicio de sesión). Estas actualizaciones abordan las vulnerabilidades de inyección de comandos y otros problemas de seguridad críticos.