Se descubrieron 12 errores de seguridad en Ivanti Endpoint Manager (EPM). ¡Actualízalo ahora!

Redazione RHC : 14 octubre 2025 16:29

Ivanti ha publicado 13 vulnerabilidades en su software Endpoint Manager (EPM) , incluidas dos fallas de alta gravedad que podrían permitir la ejecución remota de código y la escalada de privilegios .

A pesar de la falta de explotación, CVE-2025-9713 se destaca entre las vulnerabilidades como un problema de recorrido de ruta de alta gravedad con un puntaje CVSS de 8.8, que permite a atacantes remotos no autenticados ejecutar código arbitrario si los usuarios interactúan con archivos maliciosos.

Se trata de CWE-22, que se explota debido a una mala validación de entrada durante el proceso de importación de configuración, lo que podría permitir a los atacantes cargar y ejecutar código malicioso en el servidor.

Para completarlo todo, se encuentra CVE-2025-11622, una vulnerabilidad de deserialización insegura (CVSS 7.8, CWE-502) que permite a los usuarios locales autenticados aumentar sus privilegios y otorgar acceso no autorizado a recursos confidenciales del sistema.

Las 11 vulnerabilidades restantes son fallos de inyección SQL de gravedad media (cada uno CVSS 6.5, CWE-89), como CVE-2025-11623 y CVE-2025-62392 a CVE-2025-62384. La siguiente tabla muestra las vulnerabilidades detectadas.

Ivanti enfatizó que todos los problemas fueron reportados responsablemente por el investigador 06fe5fd2bc53027c4a3b7e395af0b850e7b8a044 a través de la Iniciativa Zero Day de Trend Micro, subrayando el valor de la divulgación coordinada para fortalecer las defensas.

Al momento de la divulgación, Ivanti confirmó que no hay ataques activos en curso. Por lo tanto, no se han publicado pruebas de concepto ni indicadores de compromiso (IoC).

Sin embargo, el potencial de exfiltración de datos a través de inyecciones SQL podría facilitar campañas más grandes, similares a incidentes pasados dirigidos a consolas de administración como las de SolarWinds o Log4j.

Las versiones 2024 SU3 SR1 y anteriores de Ivanti EPM se ven afectadas, mientras que la versión 2022 llegó al final de su vida útil a partir de octubre de 2025, lo que deja a los usuarios sin soporte oficial.

Para los CVE de alta gravedad, se planean correcciones para EPM 2024 SU4, cuyo lanzamiento está previsto para el 12 de noviembre de 2025. Las inyecciones de SQL se realizarán en SU5 en el primer trimestre de 2026, con un retraso debido a la complejidad de resolverlas sin interrumpir las capacidades de generación de informes.

Ivanti enfatizó que la actualización a la última versión 2024 ya mitiga gran parte del riesgo gracias a los controles de seguridad avanzados. Los clientes con versiones al final de su ciclo de vida (EOL) corren un mayor riesgo y deben migrar rápidamente para evitar vulnerabilidades sin parchear.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli