Ivanti EPMM 预授权RCE深度分析：Bash脚本中的致命漏洞

🔓 Critical 漏洞利用

Ivanti EPMM 存在两个预授权远程命令执行漏洞（CVE-2026-1281、CVE-2026-1340），攻击者可通过构造特殊HTTP请求，利用Apache RewriteMap调用的Bash脚本实现命令注入，获取服务器控制权。watchTowr Labs通过分析Ivanti发布的临时RPM补丁，揭示了漏洞根因在于未对用户输入进行充分过滤。

来源：watchTowr Labs | 0 | 原文链接

🔍 关键发现

• 漏洞存在于Ivanti EPMM的Apache RewriteMap配置中，Bash脚本未经净化直接处理用户输入。
• 攻击者可通过特定URL路径（如/mifs/c/appstore/fob/3/）触发脚本执行，实现远程命令注入。
• Ivanti仅提供临时RPM补丁（需重新应用），且直至Q1 2026才计划发布正式修复版本12.8.0.0。

⚔️ 攻击链分析

1. 攻击者向Ivanti EPMM发送特制HTTP请求，触发Apache RewriteMap规则； 2. Apache将用户控制的参数传递给Bash脚本（如map-appstore-url）； 3. Bash脚本未对输入进行过滤，导致命令注入； 4. 攻击者执行任意系统命令，获取服务器权限。

🚩 失陷指标 (IOC)

• /mifs/c/appstore/fob/3/ endpoint with crafted parameters
• ivanti-security-update-1761642-1.0.0L-5.noarch.rpm (patch file)

🛡️ 缓解建议

• ✅ 立即应用Ivanti提供的临时RPM补丁（ivanti-security-update-1761642）。
• ✅ 限制对EPMM管理界面的网络访问，使用防火墙或VPN隔离。
• ✅ 监控Apache日志中异常请求，特别是针对/mifs/c/appstore/fob/3/的访问。

涉及漏洞：["CVE-2026-1340""CVE-2026-1281"]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。