Ivanti risolve 4 vulnerabilità critiche in Endpoint Manager (EPM)

Redazione RHC : 10 Dicembre 2025 15:59

Un aggiornamento urgente è stato pubblicato da Ivanti per la sua piattaforma Endpoint Manager (EPM), al fine di risolvere un insieme di vulnerabilità significative che potrebbero permettere agli aggressori di eseguire codice a loro scelta o di prendere il controllo delle sessioni amministrative.

Tra le vulnerabilità corrette, vi sono quattro falle specifiche, compresa una particolarmente critica, contraddistinta da un punteggio di elevata gravità, che sono state sanate grazie a questo aggiornamento.

Per le organizzazioni che non sono in grado di applicare immediatamente la patch, e suggerisce di segregare al meglio le proprie reti riportando che : “Se i clienti non hanno esposto la propria soluzione su Internet, il rischio di questa vulnerabilità è significativamente ridotto”.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Una falla di sicurezza di Stored Cross-Site Scripting (XSS) monitorata con il CVE-2025-10573, ha ottenuto un punteggio CVSS di 9,6. Le versioni del software EPM antecedenti alla 2024 SU4 SR1 sono interessate da questa vulnerabilità.

L’avviso segnala che la vulnerabilità permette ad un aggressore remoto non autenticato di eseguire codice JavaScript a sua scelta all’interno di una sessione di amministrazione.

La falla richiede l’interazione dell’utente, in quanto è probabile che un amministratore venga indotto a visualizzare una pagina dannosa, tuttavia il rischio di un dirottamento dell’intera sessione impone una priorità assoluta per i responsabili della difesa.

Oltre al bug critico XSS, Ivanti ha corretto altre tre vulnerabilità di elevata gravità che espongono il sistema all’esecuzione di codice remoto (RCE) e alla manipolazione non autorizzata dei file:

• Scrittura di file arbitraria (CVE-2025-13659): classificata CVSS 8.8, questa falla riguarda il “controllo improprio delle risorse di codice gestite dinamicamente”, consentendo a un aggressore remoto e non autenticato di scrivere file arbitrari sul server.
• Errore di verifica della firma (CVE-2025-13662): con un punteggio CVSS di 7,8, questa vulnerabilità deriva da una “verifica impropria delle firme crittografiche nel componente di gestione delle patch”. Consente ad aggressori remoti non autenticati di eseguire codice arbitrario, sebbene richieda l’interazione dell’utente.
• Path Traversal (CVE-2025-13661): questo problema (CVSS 7.1) consente a un aggressore autenticato di “scrivere file arbitrari al di fuori della directory prevista”, compromettendo potenzialmente l’integrità del sistema.

Sebbene Ivanti affermi di “non essere a conoscenza di alcun cliente sfruttato da queste vulnerabilità al momento della divulgazione”, consiglia vivamente ai clienti di effettuare immediatamente l’aggiornamento.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli