BDU:2025-12911

Опубликовано: 13 окт. 2025

Источник: fstec

CVSS3: 8.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость программного средства управления конечными точками Ivanti Endpoint Manager связана с неверным ограничением имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код при условии загрузки пользователем специально сформированного файла конфигурации

Вендор

Ivanti

Наименование ПО

Ivanti Endpoint Manager

Версия ПО

до 2024 SU3 SR1 включительно (Ivanti Endpoint Manager)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 8,8)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- ограничение импорта файлов конфигурации, полученных из недоверенных источников;

- ограничение доступа к программному средству из внешних сетей (Интернет);

- использование средств межсетевого экранирования для ограничения возможности бесконтрольной отправки запросов к уязвимому программному обеспечению;

- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания попыток эксплуатации уязвимости.

Использование рекомендаций:

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-EPM-October-2025?language=en_US

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-EPM-October-2025?language=en_US

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-9713
CVE

EPSS

Процентиль: 80%

0.01439

Низкий

8.8 High

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2025-9713

CVSS3: 8.8

nvd

4 месяца назад

Path traversal in Ivanti Endpoint Manager before version 2024 SU4 allows a remote unauthenticated attacker to achieve remote code execution. User interaction is required.

GHSA-4vv9-j5h4-6c9w

CVSS3: 8.8

github

4 месяца назад

Path traversal in Ivanti Endpoint Manager allows a remote unauthenticated attacker to achieve remote code execution. User interaction is required.

EPSS

Процентиль: 80%

0.01439

Низкий

8.8 High

CVSS3

10 Critical

CVSS2