Patches

A Ivanti divulgou a correção de treze vulnerabilidades críticas em sua linha de produtos Endpoint Manager (EPM), que incluem falhas de desserialização insegura, travessia de caminho e uma série de vulnerabilidades de injeção SQL. Embora não haja relatos de exploração ativa, duas falhas foram classificadas como de alta severidade, sendo a mais crítica a CVE-2025-11622, que permite a escalada de privilégios por um usuário local autenticado. A segunda, CVE-2025-9713, é uma vulnerabilidade de travessia de caminho que pode ser explorada por um atacante não autenticado para execução remota de código, desde que um arquivo de configuração malicioso seja importado. As demais falhas são relacionadas à injeção SQL, permitindo que usuários autenticados recuperem registros arbitrários do banco de dados. A Ivanti recomenda que os clientes migrem do EPM 2022, que chegou ao fim da vida útil, para o EPM 2024 e implementem medidas provisórias até que os patches completos sejam disponibilizados. As atualizações estão programadas para serem lançadas em novembro de 2025 e no primeiro trimestre de 2026.