概要
Ivanti Endpoint Manager (EPM) に、認証されていない攻撃者が管理者のセッションを乗っ取ることが可能になる重大な格納型クロスサイトスクリプティング (XSS) の脆弱性が発見されました。この脆弱性はCVE-2025-10573として識別され、CVSSスコアは9.6と非常に高く、EPM 2024 SU4 SR1より前のすべてのバージョンに影響を与えます。数千のエンドポイントを管理する企業環境にとって、差し迫った脅威となります。
脆弱性の詳細
Ivanti EPMはエンドポイント管理や脆弱性スキャンに広く導入されていますが、この脆弱性は、デバイススキャンデータが「/incomingdata」Web APIを介して送信される際の不適切な入力検証と出力エンコーディングに起因します。攻撃者は、認証情報なしで、細工されたXSSペイロードを含むデバイスリクエストを公開されている「postcgi.exe」CGIバイナリに送信できます。
管理者ユーザーが管理コンソールの「frameset.aspx」または「db_frameset.aspx」ページにアクセスすると、悪意のあるデータが自動的に処理され、EPMデータベースに保存されます。その後、管理者がデバイス情報を表示するダッシュボードページにアクセスすると、エンコードされていないXSSペイロードがブラウザのコンテキストで実行され、攻撃者に管理者の認証済みセッションを完全に制御する権限を与えてしまいます。
この攻撃では、Ivanti EPMのデバイススキャン処理パイプラインが悪用されます。脆弱な「incomingdata」APIは、消毒なしにキー=値形式でデバイススキャンデータを受け入れるため、攻撃者はデバイスID、表示名、デバイス名、OS名などのフィールドにJavaScriptコードを注入することができます。悪意のあるスキャンファイルが書き込まれ処理されると、これらのフィールドが管理ダッシュボードのDOMに安全でない形で反映され、任意のコード実行がトリガーされます。
影響と対応
この脆弱性の最も危険な点は、従来の認証制御を回避し、組織内で最も特権を持つユーザー、すなわちシステム管理者とセキュリティ管理者を標的にすることです。この攻撃は認証を必要とせず、事前システムアクセスも不要であり、攻撃者はEPMウェブサービスへのネットワーク接続さえあれば実行可能です。
Ivantiは、CVE-2025-10573に対処するバージョンEPM 2024 SU4 SR1を2025年12月9日にリリースしました。影響を受けるバージョンを使用している組織は、脆弱性の重大性と、侵害された管理者アカウントの特権レベルの高さから、直ちにアップグレードを優先するべきです。
Rapid7は、2025年12月9日にExposure Command、InsightVM、およびNexposeを通じて、この脆弱性の認証済みチェックを提供し、組織が自らの環境内の脆弱なインスタンスを特定できるようにしました。この脆弱性はRapid7のスタッフセキュリティ研究者であるRyan Emmons氏によって発見・報告され、IvantiとRapid7の緊密な連携により、タイムリーなパッチ適用と顧客保護が実現しました。
推奨される緩和策
Ivanti EPMを運用している組織は、この脆弱性を極めて重要として扱い、直ちにパッチを適用する必要があります。パッチが展開されるまでの間は、EPMウェブインターフェースへのアクセスを制限するためのネットワークセグメンテーションの実装や、不審なデバイススキャン送信の監視が一時的な緩和策として有効です。