Ivanti je objavio informaciju o dvije ranjivosti visoke kritičnosti u svom proizvodu Endpoint Manager Mobile (EPMM). Ove ranjivosti, ako se iskoriste, mogu omogućiti napadačima daljinsko izvršavanje koda na pogođenim sistemima. Kompanija je uvela hitna ažuriranja kako bi riješila ove probleme i snažno savjetuje korisnicima da ih odmah primijene radi zaštite svojih okruženja.
Identifikovane su dvije greške ubacivanja OS komandi, označene kao CVE-2025-6770 i CVE-2025-6771, koje utiču na verzije Ivanti Endpoint Manager Mobile prije 12.5.0.2. Obje ranjivosti imaju CVSS ocjenu 7.2 (visoka), što ukazuje na značajan sigurnosni rizik. One omogućavaju daljinskom ovlaštenom napadaču sa visokim nivoom privilegija da postigne daljinsko izvršavanje koda, što potencijalno ugrožava cjelovitost, povjerljivost i dostupnost sistema.
CVSS vektor za oba problema zabilježen je kao CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H, a klasifikovani su pod oznakom CWE-78 (OS Command Injection). U vrijeme objave, Ivanti je naveo da im nije poznato postojanje aktivne eksploatacije ovih ranjivosti. Ovi nedostaci su prijavljeni kroz program odgovornog objavljivanja kompanije, čime je osigurano da su zakrpe razvijene prije nego što su propusti mogli biti javno eksploatisani.
Ranjivosti pogađaju više verzija Ivanti Endpoint Manager Mobile. Detaljan pregled pogođenih i ispravljenih verzija je sljedeći: Ivanti Endpoint Manager Mobile verzije 12.5.0.1 i ranije, 12.4.0.2 i ranije, te 12.3.0.2 i ranije su pogođene. Riješene verzije su 12.5.0.2, 12.4.0.3 i 12.3.0.3. Zakrpe su dostupne za preuzimanje putem Ivanti portala za preuzimanje, uz obavezno prijavljivanje.
Korisnicima se toplo preporučuje da se ažuriraju na najnovije ispravljene verzije 12.5.0.2, 12.4.0.3 ili 12.3.0.3 kako bi umanjili rizike povezane s ovim ranjivostima. Ivanti je izrazio zahvalnost Piotru Bazydlu (@chudyPB) iz watchTowr-a na odgovornom prijavljivanju CVE-2025-6771 i saradnji u zaštiti korisnika.
U vezi s potencijalnom zloupotrebom, Ivanti je potvrdio da nijedan korisnik nije bio kompromitovan ovim ranjivostima prije javnog objavljivanja. Dodatno, trenutno ne postoje poznati pokazatelji kompromitovanja, s obzirom na odsustvo javno dostupnih podataka o eksploataciji. Organizacije se savjetuju da prate svoje sisteme i blagovremeno primjenjuju ponuđena ažuriranja kako bi spriječile potencijalne prijetnje. Ivanti korisnici bi trebali djelovati brzo kako bi osigurali svoje sisteme od ovih kritičnih ranjivosti.