Ivanti libera atualização crítica para Endpoint Manager (CVE-2025-10573)
Ivanti publicou o patch 2024 SU4 SR1 para Endpoint Manager (EPM) corrigindo uma falha XSS crítica e outras três vulnerabilidades de alta severidade; a fabricante afirma não ter evidência de exploração ativa no momento.
Descoberta e escopo / O que mudou agora
O comunicado detalha quatro vulnerabilidades que afetam versões do EPM anteriores a 2024 SU4 SR1. A mais grave é CVE-2025-10573, um Stored XSS com CVSS 9.6 que pode permitir execução remota de JavaScript no contexto de sessões administrativas. As demais (CVE-2025-13659, CVE-2025-13661 e CVE-2025-13662) tratam de escrita arbitrária de arquivos, path traversal e verificação cripto imprópria, todas com severidade alta.
Vetor e mitigação
Ivanti recomenda aplicação imediata da versão 2024 SU4 SR1 disponível via Ivanti License System (ILS). Como mitigação temporária para ambientes que não podem atualizar em curto prazo, a empresa ressalta que o EPM não deve ficar exposto publicamente — remover exposição internet‑facing reduz significativamente o risco, especialmente para a XSS crítica que exige interação do usuário administrativo.
Outras práticas sugeridas incluem revalidação de importações de arquivos de configuração, revisão de permissões administrativas e monitoração de uploads suspeitos em interfaces de gerenciamento.
Impacto e alcance / Setores afetados
Ambientes que centralizam gestão de endpoints via EPM e expõem interfaces administrativas a redes amplas estão em maior risco. A falha XSS poderia permitir comprometimento de sessões de administrador e elevação de impacto caso combinada com outras falhas. CVE-2025-13659 (escrita arbitrária) é particularmente relevante em cenários onde a cadeia de atualização/patch management do produto é utilizada.
Limites das informações / O que falta saber
Ivanti e os relatórios públicos não listam indicadores de comprometimento (IoCs) confirmados no momento e declaram não ter evidências de exploração ativa. A divulgação inclui crédito a pesquisadores (Ryan Emmons/Rapid7, Piotr Bazydlo/watchTowr e equipe do Trend Triage/Zero Day Initiative) mas as amostras e detalhes técnicos completos permanecem restritos às notas do vendor.
Repercussão / Próximos passos / LGPD
Administradores devem priorizar a aplicação do 2024 SU4 SR1. Para organizações brasileiras gerenciando dados pessoais, a exposição de consoles administrativos ou exploração bem-sucedida que resulte em exfiltração pode ter implicações regulatórias sob a LGPD; registrar avaliação de risco e medidas corretivas é recomendado. Onde patching imediato não for possível, isolar o serviço da internet e restringir acessos administrativos por rede e MFA são medidas essenciais.
Fonte: Cyber Security News (aviso Ivanti)