This post is also available in: Português
A CVE-2025-10573 é uma vulnerabilidade crítica de cross-site scripting (XSS) armazenado, identificada no Ivanti Endpoint Manager (EPM). A falha permite que um atacante remoto não autenticado injete e execute código JavaScript arbitrário no contexto de uma sessão de administrador.
O cenário de exploração exige interação do usuário, normalmente quando um administrador acessa uma interface ou recurso previamente contaminado pelo código malicioso. Ainda assim, o impacto é significativo, pois a execução ocorre com os privilégios do administrador afetado.
Devido à combinação de acesso não autenticado, persistência do payload e impacto elevado, a vulnerabilidade recebeu pontuação CVSS 9.6, sendo classificada como crítica.
Sobre a Ivanti
A Ivanti é uma empresa global de tecnologia focada em gerenciamento de endpoints, segurança, gerenciamento de serviços de TI (ITSM) e automação. Suas soluções são amplamente utilizadas por organizações de médio e grande porte para administrar dispositivos, usuários, aplicações e políticas de segurança.
O Ivanti Endpoint Manager (EPM) é uma das principais plataformas da empresa, responsável pelo gerenciamento centralizado de endpoints, incluindo inventário, distribuição de software, aplicação de patches e controle de configurações.
Produtos e versões afetadas
A vulnerabilidade CVE-2025-10573 afeta o Ivanti Endpoint Manager em versões anteriores à 2024 SU4 SR1.
Ambientes que ainda não aplicaram essa atualização corretiva permanecem expostos ao risco de exploração, especialmente em cenários onde a interface administrativa é acessível a partir da rede ou da internet.
Como funciona o ataque de XSS armazenado
No caso da CVE-2025-10573, o problema está relacionado à neutralização inadequada de entradas fornecidas pelo usuário, classificada como CWE-79. Isso permite que um atacante injete scripts maliciosos que são armazenados pelo sistema e posteriormente executados no navegador de um administrador legítimo.
Diferentemente do XSS refletido, o XSS armazenado é particularmente perigoso porque o código malicioso permanece no sistema e pode afetar múltiplos usuários ao longo do tempo. Quando o administrador acessa o conteúdo comprometido, o script é executado automaticamente, sem alertas visíveis.
Esse tipo de ataque pode resultar em roubo de cookies de sessão, execução de ações administrativas não autorizadas, alteração de configurações críticas e até movimentação lateral dentro do ambiente corporativo.
Gravidade
A pontuação CVSS 9.6 atribuída à CVE-2025-10573 reflete a gravidade do cenário de exploração. O ataque pode ser realizado remotamente, sem autenticação prévia, e resulta na execução de código no contexto de um usuário com altos privilégios.
Mesmo exigindo interação do usuário, o impacto potencial sobre a confidencialidade, integridade e disponibilidade do ambiente é elevado. Em ambientes corporativos, sessões administrativas comprometidas representam um vetor crítico para ataques mais amplos, incluindo persistência, escalonamento de privilégios e comprometimento total da infraestrutura gerenciada pelo EPM.
Riscos para as organizações
A exploração bem-sucedida da CVE-2025-10573 pode levar a consequências sérias, como o comprometimento de contas administrativas, vazamento de informações sensíveis e alterações não autorizadas em políticas de gerenciamento de endpoints.
Além do impacto técnico, há riscos operacionais e reputacionais, especialmente em organizações que utilizam o Ivanti EPM como peça central da sua estratégia de gerenciamento e segurança de dispositivos.
Mitigações e recomendações
A Ivanti corrigiu a vulnerabilidade nas versões 2024 SU4 SR1 e posteriores do Endpoint Manager. A principal recomendação é atualizar imediatamente os ambientes afetados para uma versão corrigida.
Além da aplicação do patch, é recomendável revisar logs de acesso, monitorar comportamentos anômalos em sessões administrativas e reforçar práticas de segurança, como segmentação de rede e restrição de acesso às interfaces de gerenciamento.
Ambientes que não podem ser atualizados de forma imediata devem, sempre que possível, limitar a exposição do EPM e aplicar controles compensatórios até a correção definitiva.
Manter soluções de gerenciamento de endpoints atualizadas, acompanhar comunicados de segurança dos fabricantes e adotar uma postura proativa de gestão de vulnerabilidades são medidas essenciais para reduzir a superfície de ataque e proteger ativos críticos da organização.
This post is also available in: Português
