A Ivanti lançou oficialmente atualizações de segurança urgentes para sua solução Endpoint Manager (EPM) para solucionar quatro falhas de segurança distintas. O comunicado mais recente destaca uma vulnerabilidade crítica e três problemas de alta gravidade que podem permitir que invasores executem código arbitrário, gravem arquivos no servidor ou contornem restrições de segurança.
Embora a empresa tenha confirmado que não tem conhecimento de qualquer exploração ativa destas falhas no momento da divulgação, os administradores são instados a aplicar os patches imediatamente para evitar potenciais ataques.
As vulnerabilidades afetam as versões 2024 SU4 e anteriores do Ivanti Endpoint Manager. Para remediar esses problemas, o fornecedor lançou a versão 2024 SU4 SR1, que agora está disponível por meio do Ivanti License System (ILS).
O problema mais grave nesta atualização é rastreado como CVE-2025-10573, uma vulnerabilidade Stored Cross-Site Scripting (XSS) com uma pontuação CVSS crítica de 9,6.
Essa falha existe em versões anteriores a 2024 SU4 SR1 e permite que um invasor remoto e não autenticado execute JavaScript arbitrário dentro de uma sessão de administrador.
A exploração bem-sucedida desta vulnerabilidade requer interação do usuário, mas o impacto potencial na confidencialidade e integridade administrativa é significativo.
Juntamente com esta falha crítica, a Ivanti abordou três vulnerabilidades de alta gravidade. CVE-2025-13659 envolve controle impróprio de recursos de código gerenciados dinamicamente, permitindo que invasores não autenticados gravem arquivos arbitrários no servidor, levando potencialmente à execução remota de código.
As duas falhas restantes, CVE-2025-13661 e CVE-2025-13662, estão relacionadas à passagem de caminho e à verificação inadequada de assinatura criptográfica, respectivamente. Ambos exigem interação do usuário, envolvendo especificamente a importação de arquivos de configuração não confiáveis.
Número CVEDescriçãoGravidadePontuação CVSSCVE-2025-10573XSS armazenado permitindo que invasores remotos não autenticados executem JavaScript arbitrário em sessões de administração.Crítico9.6CVE-2025-13659Controle inadequado de recursos de código, permitindo gravação arbitrária de arquivos e RCE potencial.High8.8CVE-2025-13662Verificação inadequada de assinaturas criptográficas no gerenciamento de patches, permitindo código arbitrário execução.High7.8CVE-2025-13661Travessia de caminho que permite que invasores autenticados gravem arquivos fora dos diretórios pretendidos.High7.1
Mitigações
A Ivanti enfatizou mitigações específicas para ambientes onde a aplicação imediata de patches pode ser adiada. Em relação à falha crítica do XSS (CVE-2025-10573), a empresa observou que o EPM não se destina a ser uma solução voltada para a Internet.
As organizações que garantiram que a sua interface de gestão não fica exposta à Internet pública reduzem significativamente o risco desta vulnerabilidade.
A descoberta destas vulnerabilidades foi creditada a vários investigadores de segurança que trabalham através de canais de divulgação responsáveis.
Ivanti reconheceu as contribuições de Ryan Emmons do Rapid7 por identificar a falha crítica de XSS, Piotr Bazydlo (@chudyPB) do watchTowr pela vulnerabilidade de gravação de arquivos e pesquisadores que trabalham com a Trend Zero Day Initiative para os problemas restantes de travessia de caminho e verificação de assinatura.
Como atualmente não existem indicadores de comprometimento (IoCs) conhecidos, a aplicação do patch fornecido pelo fornecedor continua sendo a principal defesa.
Siga-nos no Google News, LinkedIn e X para atualizações diárias de segurança cibernética. Entre em contato conosco para apresentar suas histórias.
