专栏名称: 奇安信 CERT
为企业级用户提供高危漏洞、重大安全事件安全风险通告和相关产品解决方案。
目录
相关文章推荐
郑州晚报  ·  红色AI引擎 ... ·  21 小时前  
河南发布  ·  在河南,为啥先上桌的是“八道凉菜”? ·  2 天前  
河南发布  ·  河南继续发布高温橙色预警! ·  2 天前  
51好读  ›  专栏  ›  奇安信 CERT

【已复现】Ivanti Endpoint Manager Mobile 多个漏洞安全风险通告第二次更...

奇安信 CERT  · 公众号  ·  · 2025-05-16 10:52

正文

请到「今天看啥」查看全文


已公开

技术细节状态

已公开

危害描述:

CVE-2025-4427:攻击者可以通过精心构造的API请求绕过认证机制,访问需要认证才能访问的受保护资源。
CVE-2025-4428:攻击者利用该漏洞可以远程执行任意代码,从而完全控制受影响的系统。


0 1
漏洞详情
> > > >

影响组件

Ivanti Endpoint Manager Mobile(EPMM)是一款企业级的移动设备管理解决方案,用于集中管理和保护企业中的移动设备,支持设备注册、应用分发、安全策略实施等功能,帮助企业确保移动设备的安全性和合规性。

> > >

漏洞描述

近日,奇安信CERT监测到官方修复 Ivanti Endpoint Manager Mobile身份认证绕过漏洞(CVE-2025-4427) 以及 Ivanti Endpoint Manager Mobile代码执行漏洞(CVE-2025-4428) ,这两个漏洞都是由于Ivanti Endpoint Manager Mobile的API组件未能正确验证输入的数据而造成的漏洞。攻击者可以利用这两个漏洞绕过身份认证,并通过受影响的API执行任何代码,对系统安全造成严重损害。 目前该漏洞POC和技术细节已在互联网上公开, 鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。


本次更新内容:

更新漏洞状态;

新增产线解决方案;

新增复现截图。


02






请到「今天看啥」查看全文