Múltiples vulnerabilidades en EPMM de Ivanti
Ivanti Endpoint Manager Mobile:
- 12. 5 . 0 .0 y anteriores;
- 12. 6 . 0 .0 y anteriores;
- 12. 7 .0.0 y anteriores;
- 12. 5.1 .0 y anteriores;
- 12.6.1.0 y anteriores.
Ivanti ha publicado dos vulnerabilidades de severidad crítica que, de ser explotadas, podrían permitir ejecución de código remoto no autenticado.
El fabricante ha identificado explotación activa en uno de sus usuarios.
Los clientes deben aplicar RPM 12.x.0.x o RPM 12.x.1.x, según su versión. No es necesario aplicar ambos RPM, ya que son específicos de cada versión y no de cada vulnerabilidad.
- RPM_12.x.0.x Versiones aplicables: 12.5.0.x, 12.6.0.x y 12.7.0.x. Versiones compatibles: 12.3.0.x y 12.4.0.x.
- RPM_12.x.1.x Versiones aplicables: 12.5.1.0 y 12.6.1.0.
El script RPM no sobrevive a una actualización de versión. Si, tras aplicar el script RPM a su dispositivo, actualiza a una nueva versión, deberá reinstalar el RPM. La solución permanente para esta vulnerabilidad se incluirá en la próxima versión del producto: 12.8.0.0.
Sintaxis para ejecutar el parche:
- install rpm url https://username:password@support.mobileiron.com/mi/vsp/AB1771634/ivanti-security-update-1761642-1.0.0S-5.noarch.rpm
- install rpm url https://username:password@support.mobileiron.com/mi/vsp/AB1771634/ivanti-security-update-1761642-1.0.0L-5.noarch.rpm
El nombre de usuario y la contraseña son las credenciales de descarga del software del cliente. Para obtener instrucciones más detalladas, se recomienda acceder al aviso oficial del fabricante enlazado en referencias.
CVE- 2026-1281 y CVE-2026-1340: inyección de código que podría permitir a los atacantes lograr la ejecución remota de código no autenticado, además del movimiento lateral al entorno conectado. EPMM también contiene información confidencial sobre los dispositivos administrados por el dispositivo. El producto afectado debe tener acceso a Sentry, incluida la ejecución de comandos, para que Sentry funcione y se mantenga la configuración.
Estas vulnerabilidades afectan las funciones de Distribución de Aplicaciones Internas y Configuración de Transferencia de Archivos de Android, por lo que el Registro de Acceso de Apache ( /var/log/httpd/https-access_log ) registrará los intentos de explotación de ambas vulnerabilidades.
Ivanti a publicado una guía de ayuda para identificar si el producto ha sido explotado. Esta se puede ver en el enlace de las referencias.
