Redazione RHC : 14 octubre 2025 16:29
Ivanti ha publicado 13 vulnerabilidades en su software Endpoint Manager (EPM) , incluidas dos fallas de alta gravedad que podrían permitir la ejecución remota de código y la escalada de privilegios .
A pesar de la falta de explotación, CVE-2025-9713 se destaca entre las vulnerabilidades como un problema de recorrido de ruta de alta gravedad con un puntaje CVSS de 8.8, que permite a atacantes remotos no autenticados ejecutar código arbitrario si los usuarios interactúan con archivos maliciosos.
Se trata de CWE-22, que se explota debido a una mala validación de entrada durante el proceso de importación de configuración, lo que podría permitir a los atacantes cargar y ejecutar código malicioso en el servidor.
Para completarlo todo, se encuentra CVE-2025-11622, una vulnerabilidad de deserialización insegura (CVSS 7.8, CWE-502) que permite a los usuarios locales autenticados aumentar sus privilegios y otorgar acceso no autorizado a recursos confidenciales del sistema.
Las 11 vulnerabilidades restantes son fallos de inyección SQL de gravedad media (cada uno CVSS 6.5, CWE-89), como CVE-2025-11623 y CVE-2025-62392 a CVE-2025-62384. La siguiente tabla muestra las vulnerabilidades detectadas.
| Número CVE | Descripción | Puntuación CVSS (gravedad) | Vector CVSS | CWE |
| CVE-2025-11622 | La deserialización insegura en Ivanti Endpoint Manager permite que un atacante local autenticado aumente sus privilegios. | 7.8 (Alto) | CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H | CWE-502 |
| CVE-2025-9713 | El recorrido de rutas en Ivanti Endpoint Manager permite que un atacante remoto no autenticado ejecute código remoto. Requiere la interacción del usuario. | 8.8 (Alto) | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CWE-22 |
| CVE-2025-11623 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62392 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62390 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62389 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62388 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62387 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62385 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62391 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62383 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62386 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
| CVE-2025-62384 | La inyección SQL en Ivanti Endpoint Manager permite que un atacante remoto autenticado lea datos arbitrarios de la base de datos. | 6.5 (Medio) | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N | CWE-89 |
Ivanti enfatizó que todos los problemas fueron reportados responsablemente por el investigador 06fe5fd2bc53027c4a3b7e395af0b850e7b8a044 a través de la Iniciativa Zero Day de Trend Micro, subrayando el valor de la divulgación coordinada para fortalecer las defensas.
Al momento de la divulgación, Ivanti confirmó que no hay ataques activos en curso. Por lo tanto, no se han publicado pruebas de concepto ni indicadores de compromiso (IoC).
Sin embargo, el potencial de exfiltración de datos a través de inyecciones SQL podría facilitar campañas más grandes, similares a incidentes pasados dirigidos a consolas de administración como las de SolarWinds o Log4j.
Las versiones 2024 SU3 SR1 y anteriores de Ivanti EPM se ven afectadas, mientras que la versión 2022 llegó al final de su vida útil a partir de octubre de 2025, lo que deja a los usuarios sin soporte oficial.
Para los CVE de alta gravedad, se planean correcciones para EPM 2024 SU4, cuyo lanzamiento está previsto para el 12 de noviembre de 2025. Las inyecciones de SQL se realizarán en SU5 en el primer trimestre de 2026, con un retraso debido a la complejidad de resolverlas sin interrumpir las capacidades de generación de informes.
Ivanti enfatizó que la actualización a la última versión 2024 ya mitiga gran parte del riesgo gracias a los controles de seguridad avanzados. Los clientes con versiones al final de su ciclo de vida (EOL) corren un mayor riesgo y deben migrar rápidamente para evitar vulnerabilidades sin parchear.
RedazioneIvanti ha publicado 13 vulnerabilidades en su software Endpoint Manager (EPM) , incluidas dos fallas de alta gravedad que podrían permitir la ejecución remota de código y la escalada de privilegios...
Los analistas de Sophos descubrieron una compleja operación de malware realizada por expertos en seguridad que utiliza el popular servicio de mensajería WhatsApp para propagar troyanos bancarios, ap...
Se ha identificado una vulnerabilidad crítica en la arquitectura de seguridad de hardware AMD SEV-SNP, que afecta a los principales proveedores de servicios en la nube (AWS, Microsoft Azure y Google ...
La empresa israelí NSO Group, desarrolladora del infame software espía Pegasus , quedó recientemente bajo el control de inversores estadounidenses. Un portavoz de la compañía anunció que la nuev...
Más de 1,2 millones de kilómetros de cables de fibra óptica se extienden por el fondo oceánico, considerados durante mucho tiempo solo como parte de una red global de telecomunicaciones. Sin embar...
