As vulnerabilidades do Ivanti Endpoint Manager permitem a execução do código remoto por atacantes – Against Invaders – Notícias de CyberSecurity para humanos.

As vulnerabilidades do Ivanti Endpoint Manager permitem a execução do código remoto por atacantes - Against Invaders - Notícias de CyberSecurity para humanos.

O Ivanti lançou o Security Advisory para o Endpoint Manager Versions 2024 SU3 e 2022 SU8, detalhando duas falhas de alta severidade (CVE-2025-9712 ​​e CVE-2025-9872).

Ambos os problemas decorrem da validação insuficiente do nome do arquivo e exigem apenas uma interação mínima do usuário, potencialmente concedendo controle total sobre os sistemas afetados.

Visão geral da vulnerabilidade

As duas vulnerabilidades compartilham características idênticas e impacto:

Número cve Descrição Pontuação do CVSS (gravidade)
CVE-2025-9712 Validação insuficiente do nome do arquivo no Endpoint Manager Antes de 2024 Atualização de segurança SU3 1 e 2022 SU8 Atualização de segurança 2 permite a execução de código não autenticada remota. Requer interação do usuário. 8.8 (alto)
CVE-2025-9872 Igual ao CVE-2025-9712: Validação insuficiente do nome do arquivo permite a execução de código não autenticada remota com a interação do usuário. 8.8 (alto)

Ivanti Nenhuma exploração conhecida dessas vulnerabilidades na natureza no momento da divulgação. No entanto, a alta severidade e a facilidade de exploração sublinham a urgência para os administradores atualizarem os sistemas afetados.

Versões afetadas e remediação

Todas as instalações do Endpoint Manager executando a atualização de segurança 2022 SU8 ou anteriores, bem como 2024 SU3 e anterior, são vulneráveis. Ivanti lançou correções nas seguintes versões:

Nome do produto Versão afetada (s) Versão resolvida (s) Disponibilidade de patch
Ivanti Endpoint Manager 2022 SU8 Atualização de segurança 1 e anterior 2022 SU8 Atualização de segurança 2 Download Disponível no Sistema de Licença Ivanti (ILS)
Ivanti Endpoint Manager 2024 SU3 e anterior 2024 SU3 Atualização de segurança 1 Download Disponível no Sistema de Licença Ivanti (ILS)

Os clientes devem fazer login no sistema de licença Ivanti para recuperar as atualizações necessárias.

A filial de 2022 chegará ao final da vida no final de outubro de 2025. As organizações ainda nessa filial devem não apenas aplicar a atualização de segurança, mas também planejar migrar para uma versão suportada para manter a segurança e o suporte contínuos.

Ações recomendadas

Os administradores são aconselhados a:

  1. Verifique a versão do Endpoint Manager implantada em seu ambiente.
  2. Faça o download imediatamente e instale a atualização de segurança apropriada no portal ILS.
  3. Revise os controles de acesso ao usuário e políticas de terminal para limitar a exposição potencial.
  4. Agende os planos de migração para a filial de 2022 para se alinhar com o próximo final da vida em outubro de 2025.

Ao aplicar proativamente essas atualizações e planejamento para migrações de filiais, as organizações podem se defender contra não autorizadas execução de código remoto e defender a integridade de sua infraestrutura de gerenciamento de terminais.

Encontre esta história interessante! Siga -nosLinkedIneXPara obter mais atualizações instantâneas.

Divya

Divya é um jornalista sênior da GBHackers que cobre ataques cibernéticos, ameaças, violações, vulnerabilidades e outros acontecimentos no mundo cibernético.

azaeo.com – datalake

File fishes formats available in:

TextoJSONJSON-LDXMLHTMLHTML SourcePDFMarkdown

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.