【要点】
◎Ivanti EPMにXSS(CVSS9.6)など4件の脆弱性が判明。任意ファイル書き込み等も含み危険度は高い。悪用報告はないが、修正版EPM 2024 SU4 SR1への更新が推奨される。 (Security NEXT)
【脆弱性内容】
| 公開日 |
登録日 |
CVE番号 |
NVD |
ベンダー |
CVSS v3 |
CWE |
脆弱性 |
KEV |
備考 |
|---|---|---|---|---|---|---|---|---|---|
| 2025/12/09 | 2025/09/16 | CVE-2025-10573 | NVD | Ivanti | 9.6(Ivanti) |
CWE-79 | クロスサイトスクリプティング | - | Endpoint Manager |
| 2025/12/09 | 2025-11-25 | CVE-2025-13659 | NVD | Ivanti | 8.8(Ivanti) |
CWE-913 | 動的に操作されるコードリソースの不適切な制御 | - | Endpoint Manager |
| 2025/12/09 | 2025/11/25 | CVE-2025-13661 | NVD | Ivanti | 7.1(Ivanti) |
CWE-22 | パス・トラバーサル | - | Endpoint Manager |
| 2025/12/09 | 2025/11/25 | CVE-2025-13662 | NVD | Ivanti | 7.8(Ivanti) |
CWE-347 | デジタル署名の不適切な検証 | - | Endpoint Manager |
【要約】
Ivanti のエンドポイント管理製品「Ivanti Endpoint Manager(EPM)」に、CVEベースで4件の脆弱性が確認された。中でも CVE-2025-10573 は管理者セッションで任意のJavaScriptを実行され得る格納型XSSで、CVSS 9.6 の「クリティカル」評価。他に、認証不要で任意ファイルを書き込める CVE-2025-13659、パストラバーサルの CVE-2025-13661、署名検証不備の CVE-2025-13662 が「高」リスクとされた。いずれも現時点で悪用報告はない。Ivanti は修正版「EPM 2024 SU4 SR1」を提供しており、早急な更新と併せ、緩和策の適用を利用者に推奨している。
【ニュース】
◆エンドポイント管理製品「Ivanti EPM」に複数脆弱性 - 「クリティカル」も (Security NEXT, 2025/12/10)
https://www.security-next.com/178217
