Podatność typu code injection w Ivanti Endpoint Manager Mobile (EPMM) pozwala atakującemu na zdalne wykonanie kodu bez uwierzytelnienia. Ze względu na brak wymagań dotyczących autoryzacji oraz pełen wpływ na poufność, integralność i dostępność systemu, podatność otrzymała ocenę CVSS 9.8 (CRITICAL).
▸ Pokaż oryginał (EN)
A code injection in Ivanti Endpoint Manager Mobile allowing attackers to achieve unauthenticated remote code execution.
Atakujący wysyła specjalnie spreparowane żądanie sieciowe do podatnego komponentu Ivanti EPMM bez konieczności posiadania jakichkolwiek poświadczeń. Luka klasy code injection (CWE-94) pozwala na wstrzyknięcie i wykonanie dowolnego kodu po stronie serwera. Wektor ataku jest sieciowy (AV:N), nie wymaga interakcji użytkownika ani wysokich uprawnień, co czyni go trivialnym do przeprowadzenia z dowolnego miejsca w sieci.
Atakujący może przejąć pełną kontrolę nad serwerem Ivanti EPMM, w tym odczytać lub zmodyfikować dane oraz zakłócić działanie systemu zarządzania urządzeniami mobilnymi. W konsekwencji możliwy jest dostęp do zarządzanych urządzeń końcowych, danych użytkowników i infrastruktury organizacji.
Należy zastosować patche dostępne u producenta zgodnie z referencjami — szczegóły w oficjalnym advisory Ivanti dostępnym pod adresem podanym w referencjach. Ze względu na aktywne eksploatowanie podatności w środowisku produkcyjnym aktualizacja powinna zostać przeprowadzona bezzwłocznie.
Ivanti Endpoint Manager Mobile (EPMM) — wersje wskazane w referencjach producenta (advisory Ivanti: CVE-2026-1281 / CVE-2026-1340)
Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities, co potwierdza aktywne wykorzystywanie jej w środowiskach produkcyjnych. Advisory producenta obejmuje również powiązaną podatność CVE-2026-1281.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HIvanti Endpoint Manager Mobile
APPIvanti≤ 12.7.0.0
CISA KEV — szczegółyi
- Dostawcai
- Ivanti ↗
- Produkti
- Endpoint Manager Mobile (EPMM)
- Data dodania do KEVi
- 8 kwietnia 2026
- Termin remediation (USA)i
- 11 kwietnia 2026(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Ivanti Endpoint Manager Mobile (EPMM) zawiera lukę podatności code injection, która umożliwia atakującym uzyskanie niezaakceptowanego remote code execution.
▸ Pokaż oryginał (EN)
Ivanti Endpoint Manager Mobile (EPMM) contains a code injection vulnerability that could allow attackers to achieve unauthenticated remote code execution.
Powiązane podatności
Krytyczny code injection w Ivanti Endpoint Manager Mobile (RCE bez uwierzytelnienia)
An authentication bypass vulnerability in Ivanti EPMM 11.10 and older, allows unauthorized users to access res...
An authentication bypass vulnerability in Ivanti EPMM allows unauthorized users to access restricted functiona...
Ivanti EPMM: obejście autoryzacji umożliwiające zdalne wykonanie poleceń
A security vulnerability in EPMM Versions 11.10, 11.9 and 11.8 older allows a threat actor with knowledge of a...