[TLP:CLEAR] Ivanti Endpoint Manager opravuje 13 zranitelností

Ivanti upozorňuje na 13 zranitelností v produktu Ivanti Endpoint Manager. Opravy budou vydány ve verzích 2024 SU4 (12. listopadu 2025) a 2024 SU5 (Q1 2026). Pro zmírnění dopadů či dočasné řešení postupujte dle [1].

Ivanti Endpoint Manager - RCE (CVE-2025-9713)
CVSS 8.8 (High)

Neautentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu path traversal umožněno spustit kód [1].

Zranitelnost se nachází v produktu Ivanti Endpoint Manager ve verzích (<=2024 SU3 SR1) OR (<=2022 SU8 SR2).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 13. 10. 2025.

Ivanti Endpoint Manager - privilege escalation (CVE-2025-11622)
CVSS 7.8 (High)

Autentizovanému lokálnímu útočníkovi je kvůli nezabezpečené deserializaci umožněno zvýšit svá oprávnění [1].

Zranitelnost se nachází v produktu Ivanti Endpoint Manager ve verzích (<=2024 SU3 SR1) OR (<=2022 SU8 SR2).

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 13. 10. 2025.

Ivanti Endpoint Manager - SQL injection (CVE-2025-11623, CVE-2025-62392, CVE-2025-62390, CVE-2025-62389, CVE-2025-62388, CVE-2025-62387, CVE-2025-62385, CVE-2025-62391, CVE-2025-62383, CVE-2025-62386, CVE-2025-62384)
CVSS 6.5 (Medium)

Autentizovanému vzdálenému útočníkovi je umožněno vykonat SQL injection útok a číst libovolná data z databáze [1].

Zranitelnost se nachází v produktu Ivanti Endpoint Manager ve verzích (<=2024 SU3 SR1) OR (<=2022 SU8 SR2).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Více informací:

Zranitelnost byla veřejně oznámena 13. 10. 2025.

Za CESNET-CERTS Michaela Jarošová dne 14. 10. 2025.

CESNET-CERTS Logo