📋 漏洞概述

Ivanti EPMM 存在输入验证不当漏洞，允许远程认证的管理员执行任意代码，导致完全控制服务器。

📋 基础信息

🔬 漏洞根因

EPMM 的 Web 管理后台在处理用户提交的特定参数（如设备配置、策略模板或脚本路径）时，未对输入内容进行充分的合法性校验与过滤。攻击者可通过构造包含恶意命令或代码片段的请求，利用程序对特殊字符（如管道符、反引号、换行符）的不安全处理，经服务器端解释器（如 Shell、JavaScript 引擎）执行任意指令。推测缺陷位于处理设备注册或策略推送的 RPC 接口中，该接口未严格实施白名单验证。

🎯 攻击场景

1. 前提条件：攻击者已获取 EPMM 管理控制台的有效管理员凭据（可通过弱口令爆破、钓鱼或内网渗透获得）。 2. 攻击者登录管理后台，定位到设备策略配置或脚本上传功能模块。 3. 攻击者在策略值或脚本参数字段中插入恶意负载，例如 `; system('whoami')` 或 `${script:java.lang.Runtime.getRuntime().exec("id")}`，利用输入验证缺失使服务端解析并执行。 4. 服务端处理该请求时，将恶意输入直接拼接到内部命令或动态代码中，导致远程代码执行。 5. 攻击者成功获取 EPMM 服务器所在操作系统的 Shell 权限，进而横向移动、窃取移动设备管理数据或植入持久化后门。

💥 漏洞影响

远程认证攻击者可利用该漏洞在 EPMM 服务器上以服务进程权限（通常为 SYSTEM 或 root）执行任意系统命令，导致完全接管该服务器。进而可窃取所有受管移动设备的敏感数据（如企业邮件、证书、VPN 配置）、篡改设备策略（如推送恶意应用）、或利用 EPMM 作为跳板攻击内部网络中的其他系统。

🛡️ 修复建议

1. 立即升级至 Ivanti 官方发布的安全修补版本（请参考 Ivanti 安全公告，预计为 EPMM 12.3.0.1 或更高版本）。 2. 临时缓解措施：在无法升级时，限制仅可从受控管理网络访问 EPMM 管理后台；启用多因素认证（MFA）降低凭据泄露风险；审计管理账户活动，禁用非必要的高权限账户。 3. 遵循 CISA BOD 22-01 指导，对云服务实例应用虚拟补丁或 Web 应用防火墙（WAF）规则拦截可疑的代码注入请求。

📎 参考链接

• https://nvd.nist.gov/vuln/detail/CVE-2026-6973
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-6973
• https://www.ivanti.com/blog/security-advisory-2026-03
• 原始来源（CISA-KEV）

⚠️ 本文由漏洞情报系统自动生成，仅供安全研究与防御参考。生成时间: 2026-05-08 04:22 | 来源: CISA-KEV