Vulnerabilidades do Ivanti Endpoint Manager permitem que invasores gravem arquivos em qualquer lugar nos sistemas de destino

Vulnerabilidades do Ivanti Endpoint Manager permitem que invasores gravem arquivos em qualquer lugar nos sistemas de destino

A Ivanti lançou atualizações críticas de segurança para o Ivanti Endpoint Manager para solucionar três vulnerabilidades de alta gravidade que poderiam permitir que invasores autenticados escrevessem arquivos arbitrários para qualquer local nos sistemas afetados.

A empresa divulgou o comunicado de segurança em 10 de novembro de 2025, com o patch mais recente sendo disponibilizado imediatamente.

Número CVE Descrição Pontuação CVSS Gravidade
CVE-2025-10918 Permissões padrão inseguras no agente permitindo gravações arbitrárias de arquivos 7.1 Alto
CVE-2025-9713 Divulgado anteriormente (outubro de 2025) Varia Alto
CVE-2025-11622 Divulgado anteriormente (outubro de 2025) Varia Alto

A vulnerabilidade mais preocupante é a CVE-2025-10918, que decorre de permissões padrão inseguras no componente do agente do Ivanti Endpoint Manager.

Essa falha poderia permitir que invasores locais autenticados executassem gravações arbitrárias de arquivos em todo o disco do sistema, potencialmente sistema comprometedor integridade e permitindo novos ataques.

CVE-2025-10918 possui uma pontuação CVSS de 7,1, classificando-o como uma ameaça de alta gravidade.

A vulnerabilidade usa o vetor CVSS CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A: H, indicando que a exploração requer acesso local com baixa complexidade e baixos requisitos de privilégios.

A vulnerabilidade é rastreada sob CWE-276, que diz respeito a permissões de arquivo padrão inadequadas.

Duas vulnerabilidades adicionais, CVE-2025-9713 e CVE-2025-11622, também foram abordadas neste comunicado e foram divulgadas anteriormente em outubro de 2025.

Esses problemas estavam pendentes nos lançamentos de segurança do mês anterior e agora foram totalmente resolvidos com o patch mais recente.

A vulnerabilidade afeta as versões 2024 SU3 SR1 do Ivanti Endpoint Manager e anteriores. A Ivanti lançou o Endpoint Manager 2024 SU4 para resolver todos os problemas identificados.

Os patches agora estão disponíveis através do portal de download do Ivanti License System (ILS), que requer autenticação do usuário.

A Ivanti confirmou que, no momento da divulgação, a empresa não tinha conhecimento de nenhum cliente que estivesse explorando ativamente esses vulnerabilidades.

No entanto, as organizações são incentivadas a implementar os patches o mais rápido possível para mitigar potenciais riscos de ataque.

Os clientes que executam a filial mais antiga de 2022 devem estar cientes de que a Ivanti descontinuou o suporte para esta versão no final de outubro de 2025.

A empresa não lançará patches para a filial EOL, o que significa que os usuários afetados devem atualizar para a versão 2024 SU4 para resolver esses problemas de segurança. Esta atualização obrigatória ressalta a importância de manter o software atualizado.

As organizações que executam versões vulneráveis ​​do Ivanti Endpoint Manager devem priorizar a implantação imediata da atualização 2024 SU4.

A capacidade de gravar arquivos arbitrários em sistemas representa um risco de segurança significativo, podendo levar à instalação de malware, aumento de privilégios e comprometimento total do sistema.

Ivanti reconhecido pesquisador de segurança Enrique Fernández Lorenzo (também conhecido como bighound) por divulgar de forma responsável o CVE-2025-10918 e colaborar com a empresa para proteger os clientes.

A empresa mantém uma política de divulgação de vulnerabilidades que incentiva a comunidade de segurança a relatar problemas através dos canais adequados.

Siga-nos emGoogle Notícias,LinkedIneXpara obter atualizações instantâneas e definir GBH como fonte preferencial em Google.

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.