Redazione RHC : 14 octubre 2025 16:29
Ivanti ha publicado 13 vulnerabilidades en su software Endpoint Manager (EPM) , incluidas dos fallas de alta gravedad que podrían permitir la ejecución remota de código y la escalada de privilegios .
A pesar de la falta de explotación, CVE-2025-9713 se destaca entre las vulnerabilidades como un problema de recorrido de ruta de alta gravedad con un puntaje CVSS de 8.8, que permite a atacantes remotos no autenticados ejecutar código arbitrario si los usuarios interactúan con archivos maliciosos.
Se trata de CWE-22, que se explota debido a una mala validación de entrada durante el proceso de importación de configuración, lo que podría permitir a los atacantes cargar y ejecutar código malicioso en el servidor.
Para completarlo todo, se encuentra CVE-2025-11622, una vulnerabilidad de deserialización insegura (CVSS 7.8, CWE-502) que permite a los usuarios locales autenticados aumentar sus privilegios y otorgar acceso no autorizado a recursos confidenciales del sistema.
Las 11 vulnerabilidades restantes son fallos de inyección SQL de gravedad media (cada uno CVSS 6.5, CWE-89), como CVE-2025-11623 y CVE-2025-62392 a CVE-2025-62384. La siguiente tabla muestra las vulnerabilidades detectadas.
| Número CVE | Descripción | Puntuación CVSS (gravedad) | Vector CVSS | CWE |
| CVE-2025-11622 | La deserialización insegura en Ivanti Endpoint Manager permite que un atacante local autenticado aumente sus privilegios. | 7.8 (Alto) | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-502 |
| CVE-2025-9713 | El recorrido de rutas en Ivanti Endpoint Manager permite que un atacante remoto no autenticado ejecute código remoto. Requiere la interacción del usuario. | 8.8 (Alto) | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CWE-22 |
| CVE-2025-11623 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62392 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62390 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62389 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62388 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62387 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62385 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62391 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62383 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62386 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62384 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
Ivanti enfatizó que todos los problemas fueron reportados responsablemente por el investigador 06fe5fd2bc53027c4a3b7e395af0b850e7b8a044 a través de la Iniciativa Zero Day de Trend Micro, subrayando el valor de la divulgación coordinada para fortalecer las defensas.
Al momento de la divulgación, Ivanti confirmó que no hay ataques activos en curso. Por lo tanto, no se han publicado pruebas de concepto ni indicadores de compromiso (IoC).
Sin embargo, el potencial de exfiltración de datos a través de inyecciones SQL podría facilitar campañas más grandes, similares a incidentes pasados dirigidos a consolas de administración como las de SolarWinds o Log4j.
Las versiones 2024 SU3 SR1 y anteriores de Ivanti EPM se ven afectadas, mientras que la versión 2022 llegó al final de su vida útil a partir de octubre de 2025, lo que deja a los usuarios sin soporte oficial.
Para los CVE de alta gravedad, se planean correcciones para EPM 2024 SU4, cuyo lanzamiento está previsto para el 12 de noviembre de 2025. Las inyecciones de SQL se realizarán en SU5 en el primer trimestre de 2026, con un retraso debido a la complejidad de resolverlas sin interrumpir las capacidades de generación de informes.
Ivanti enfatizó que la actualización a la última versión 2024 ya mitiga gran parte del riesgo gracias a los controles de seguridad avanzados. Los clientes con versiones al final de su ciclo de vida (EOL) corren un mayor riesgo y deben migrar rápidamente para evitar vulnerabilidades sin parchear.
RedazioneEn el porche de una vieja cabaña en Colorado, Mark Gubrud , de 67 años, mira distraídamente el anochecer distante, con su teléfono a su lado y la pantalla todavía en una aplicación de noticias. ...
El trabajo remoto ha dado libertad a los empleados , pero con él también ha llegado la vigilancia digital . Ya comentamos esto hace tiempo en un artículo donde informamos que estas herramientas de ...
La empresa israelí NSO Group apeló un fallo de un tribunal federal de California que le prohíbe utilizar la infraestructura de WhatsApp para distribuir su software de vigilancia Pegasus. El caso, q...
Se ha identificado una vulnerabilidad de omisión de autenticación en Azure Bastion (descubierta por RHC gracias a la monitorización constante de CVE críticos en nuestro portal), el servicio gestio...
El panorama del ransomware está cambiando. Los actores más expuestos —LockBit, Hunters International y Trigona— han pagado el precio de la sobreexposición, incluyendo operaciones internacionale...
