XSS almacenado en Ivanti Endpoint Manager anterior a la versión 2024 SU4 SR1 permite a un atacante remoto no autenticado ejecutar JavaScript arbitrario en el contexto de una sesión de administrador. Interacción del usuario

Un atacante que explote con éxito esta vulnerabilidad podría comprometer completamente el sistema Ivanti Endpoint Manager. La ejecución de JavaScript arbitrario en una sesión de administrador permite al atacante realizar una amplia gama de acciones maliciosas, incluyendo la modificación de configuraciones, la extracción de datos sensibles (como credenciales de usuario o información de la red), la instalación de malware y el movimiento lateral dentro de la red corporativa. La falta de autenticación necesaria para la explotación amplía significativamente el radio de explosión, ya que cualquier usuario externo puede intentar explotar la vulnerabilidad. Esto es particularmente preocupante en entornos donde Ivanti Endpoint Manager se utiliza para gestionar una gran cantidad de endpoints.

Organizations heavily reliant on Ivanti Endpoint Manager for endpoint management and security are at significant risk. Specifically, environments with limited security awareness training among administrators, or those using older, unpatched versions of the software, are particularly vulnerable. Shared hosting environments where multiple users share the same Ivanti Endpoint Manager instance also face increased risk.

• windows / supply-chain: Monitor Ivanti Endpoint Manager logs for unusual JavaScript execution patterns. Use Windows Defender to scan for suspicious scripts.

Get-WinEvent -LogName Application -Filter "EventID=1001 and Source='Ivanti Endpoint Manager'" | Where-Object {$_.Message -match 'javascript:'}

• linux / server: Monitor web server access logs for requests containing suspicious JavaScript code. • wordpress / composer / npm: N/A - This vulnerability is not related to WordPress, Composer, or npm. • database (mysql, redis, mongodb, postgresql): N/A - This vulnerability is not related to databases. • generic web: Use curl to test endpoints for XSS vulnerabilities. Inspect response headers for unusual content.

echo '<script>alert("XSS")</script>' | curl -X POST -d @- https://your-ivanti-endpoint-manager/some-endpoint

1. 2025-12-09Disclosure

   disclosure

1. Reservado2025-09-16
2. Publicada2025-12-09
3. Modificada2026-02-26
4. EPSS actualizado2026-03-23

La mitigación principal para CVE-2025-10573 es actualizar Ivanti Endpoint Manager a la versión 2024 SU4 SR1 o posterior, que incluye la corrección de esta vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la restricción del acceso a las funciones afectadas y la implementación de políticas de seguridad de contenido (CSP) para mitigar el riesgo de ejecución de JavaScript malicioso. Además, se debe monitorear cuidadosamente los registros del sistema en busca de actividad sospechosa y considerar la implementación de un Web Application Firewall (WAF) para filtrar el tráfico malicioso. Después de la actualización, confirme la mitigación verificando que las funciones afectadas ya no sean susceptibles a la inyección de JavaScript.