Dwie podatności w Ivanti Endpoint Manager Mobile
CSIRT CeZ ostrzega: zostały wykryte dwie podatności w rozwiązaniu do zarządzania urządzeniami mobilnymi w środowisku firmowym Ivanti Endpoint Manager Mobile. Ich połączenie może pozwolić cyberprzestępcom na nieuwierzytelniony dostęp do systemu oraz zdalne wykonanie kodu. Administratorzy powinni jak najszybciej wdrożyć zalecane przez producenta poprawki.
Charakterystyka podatności
- Oznaczenie: CVE-2025-4427
- Score: 5.3 Medium
Podatność CVE-2025-4427 umożliwia obejście mechanizmów uwierzytelniania. To z kolei pozwala na dostęp do chronionych zasobów bez podania odpowiednich danych uwierzytelniających.
- Oznaczenie: CVE-2025-4428
- Score: 7.2 High
Podatność CVE-2025-4428 natomiast może zostać wykorzystana do zdalnego wykonania kodu w systemie docelowym. Producent informuje, że w momencie ujawnienia podatności, zostały odnotowane ograniczone przypadki jej wykorzystania.
Podatne systemy
Ivanti Endpoint Manager Mobile w wersjach:
- ≤ 11.12.0.4
- ≤ 12.3.0.1
- ≤ 12.4.0.1
- ≤ 12.5.0.0
Działania zapobiegawcze
Zalecamy aktualizację do jednej ze wspieranych wersji:
- 11.12.0.5
- 12.3.0.2
- 12.4.0.2
- 12.5.0.1