Ivanti Endpoint Manager 在 2024 SU4 SR1 版本之前存在路径遍历漏洞，允许远程经过身份验证的攻击者在预期目录之外写入任意文件。需要用户交互。

攻击者可以利用此路径遍历漏洞绕过访问控制，在 Ivanti Endpoint Manager 服务器的文件系统中写入任意文件。这可能导致攻击者上传恶意代码、修改系统配置、窃取敏感数据，甚至完全控制受影响的系统。攻击者可能利用此漏洞修改系统文件，例如安装后门程序，从而实现持久性访问。由于需要用户交互，攻击者可能需要诱骗用户点击恶意链接或执行恶意操作，但一旦成功，攻击者的影响范围可能非常广泛，包括对整个网络的潜在威胁。

Organizations heavily reliant on Ivanti Endpoint Manager for device management and security are at significant risk. Environments with weak authentication controls or where user awareness training is lacking are particularly vulnerable. Shared hosting environments utilizing Ivanti Endpoint Manager should also be considered high-risk due to the potential for cross-tenant exploitation.

• windows / supply-chain:

Get-WinEvent -LogName Security -Filter "EventID = 4663 and SubjectUserName -like '*attacker*'" | sls

• windows / supply-chain:

Get-Process | Where-Object {$_.Path -like "*\ivanti*"} | Select-Object ProcessName, Path

• windows / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -like '*ivanti*'}

1. 2025-12-09Disclosure

   disclosure

1. 已保留2025-11-25
2. 发布日期2025-12-09
3. 修改日期2026-02-26
4. EPSS 更新日期2026-03-23

Ivanti 已经发布了修复版本 2024 SU4 SR1。用户应立即升级至此版本以解决此漏洞。如果无法立即升级，可以考虑以下临时缓解措施：限制对 Ivanti Endpoint Manager 服务器的访问，仅允许授权用户访问。实施严格的文件访问控制策略，确保用户只能访问其需要的文件。监控 Ivanti Endpoint Manager 服务器的文件系统，检测任何未经授权的修改。考虑使用 Web 应用防火墙 (WAF) 来过滤恶意请求，阻止攻击者利用此漏洞。