Ivanti Endpoint Manager ist verwundbar. Insgesamt können Angreifer an sechs mittlerweile geschlossenen Schwachstellen ansetzen. Derzeit gibt es den Entwicklern zufolge keine Hinweise auf Attacken.
Wie aus einer Warnmeldung hervorgeht, gilt eine Reflected-XSS-Schwachstelle (CVE-2025-22466 "hoch") am gefährlichsten. Hier kann sich der knappen Beschreibung zufolge ein entfernter Angreifer ohne Authentifizierung Admin-Rechte erschleichen. Dafür muss ein Opfer aber mitspielen. Wie das im Detail ablaufen könnte, ist bislang unklar.
Durch eine präparierte DLL-Bibliothek kann sich ein bereits authentifizierter Angreifer System-Rechte verschaffen (CVE-2025-22358 "hoch"). Eine SQL-Lücke (CVE-2025-22461 "hoch") erlaubt es Angreifern, die dafür jedoch bereits Admin sein müssen, Schadcode auszuführen.
Die verbleibenden Sicherheitslücken sind mit dem Bedrohungsgrad "mittel" eingestuft. An diesen Stellen kann sich ein Angreifer zum Beispiel aufgrund einer unzureichenden Zertifikatsüberprüfung in Verbindungen einklinken.
Die Entwickler versichern, die Schwachstellen in den Ivanti-Endpoint-Manager-Versionen 2022 SU7 und 2024 SU1 geschlossen zu haben.
(