Krytyczna podatność w Ivanti Endpoint Manager
CSIRT CeZ ostrzega: krytyczna podatność w Ivanti Endpoint Manager typu XSS (Cross-Site Scripting). Wykryta podatność umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu JavaScript w sesji administratora. Do przeprowadzenia ataku wymagana jest interakcja użytkownika.
Charakterystyka podatności
- Oznaczenie: CVE-2025-10573
- Score CVSS: 9,6 (Critical)
Jak działa podatność?
Atakujący może przygotować złośliwy link lub treść, która po kliknięciu przez administratora w interfejsie Ivanti Endpoint Manager pozwala na wykonanie dowolnego kodu JavaScript w jego sesji. To może prowadzić do przejęcia kontroli nad systemem.
Podatne systemy
Ivanti Endpoint Manager w wersji niższej niż 2024 SU4 SR1
Działania zapobiegawcze
Zaktualizuj Ivanti Endpoint Manager do wersji 2024 SU4 SR1 lub nowszej, zgodnie z zaleceniami producenta.
Dlaczego to ważne?
Podatność umożliwia przejęcie sesji administratora i wykonanie dowolnych operacji w systemie, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Źródło
NVD – CVE-2025-10573