Podatność typu stored XSS w Ivanti Endpoint Manager pozwala nieuwierzytelnionemu atakującemu zdalnie wykonać dowolny kod JavaScript w kontekście sesji administratora. Ocena CVSS 9.6 (CRITICAL) odzwierciedla wysokie ryzyko przejęcia kontroli nad systemem zarządzania punktami końcowymi.
▸ Pokaż oryginał (EN)
Stored XSS in Ivanti Endpoint Manager prior to version 2024 SU4 SR1 allows a remote unauthenticated attacker to execute arbitrary JavaScript in the context of an administrator session. User interaction is required.
Atakujący bez żadnego uwierzytelnienia może wstrzyknąć złośliwy skrypt JavaScript, który zostaje trwale zapisany (stored) w aplikacji Ivanti Endpoint Manager. Skrypt jest następnie automatycznie wykonywany w przeglądarce zalogowanego administratora w momencie wyświetlenia zainfekowanej zawartości. Atak wymaga interakcji ze strony użytkownika (administratora), np. odwiedzenia określonej strony lub widoku w panelu zarządzania. Dzięki temu, że payload działa w kontekście uprzywilejowanej sesji, atakujący może wykonywać operacje z uprawnieniami administratora.
Atakujący może wykonać dowolny kod JavaScript w kontekście sesji administratora, co w praktyce może prowadzić do przejęcia konta, kradzieży danych uwierzytelniających, modyfikacji konfiguracji środowiska zarządzania punktami końcowymi lub dalszego ruchu lateralnego w sieci.
Należy zaktualizować Ivanti Endpoint Manager do wersji 2024 SU4 SR1 lub nowszej. Szczegóły dostępne w oficjalnym biuletynie bezpieczeństwa producenta: https://forums.ivanti.com/s/article/Security-Advisory-EPM-December-2025-for-EPM-2024
Ivanti Endpoint Manager w wersjach wcześniejszych niż 2024 SU4 SR1
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:HIvanti Endpoint Manager
APPIvanti2024< 2024
Powiązane podatności
Absolute Path Traversal w Ivanti EPM — wyciek wrażliwych danych bez uwierzytelnienia
Absolute Path Traversal w Ivanti EPM — wyciek wrażliwych danych bez uwierzytelnienia
Absolute Path Traversal w Ivanti EPM — wyciek danych bez uwierzytelnienia
Absolute Path Traversal w Ivanti Endpoint Manager — wyciek danych bez uwierzytelnienia
SQL Injection w Ivanti Endpoint Manager umożliwiający RCE bez uwierzytelnienia