A Ivanti emitiu um alerta de segurança sobre uma falha crítica no Endpoint Manager (EPM), sua plataforma de gerenciamento de dispositivos, que pode permitir execução remota de código (RCE) sem necessidade de autenticação. A vulnerabilidade foi catalogada como CVE-2025-10573 e afeta diretamente o painel administrativo do sistema. A falha é resultado de uma vulnerabilidade de cross-site scripting (XSS) explorável por meio do registro de endpoints falsos. Um invasor pode injetar código JavaScript malicioso durante esse processo e, ao ser carregado por um administrador legítimo ao acessar o console do EPM, o código é executado silenciosamente com privilégios elevados.
Esse tipo de ataque pode levar ao sequestro de sessões administrativas, instalação de malware, alterações nas configurações do sistema e comprometimento de outros dispositivos gerenciados. O maior risco está na possibilidade de o invasor assumir controle completo da plataforma sem precisar de credenciais válidas. Segundo a Ivanti, a falha afeta versões anteriores à EPM 2024 SU4 SR1, e foi corrigida nessa última atualização, liberada em dezembro de 2025. A empresa recomendou que todas as organizações atualizem imediatamente seus ambientes para mitigar o risco. Além da CVE-2025-10573, duas outras falhas foram tratadas no mesmo ciclo de correções: a CVE-2025-13659 e a CVE-2025-13662, ambas permitindo execução de código sob condições específicas.
Juntas, essas vulnerabilidades aumentam o potencial de exploração em ambientes corporativos com instâncias expostas à internet. Pesquisadores da Shadowserver identificaram centenas de instâncias públicas do Ivanti EPM expostas, especialmente nos Estados Unidos, Alemanha, Japão e Reino Unido. Esses sistemas, se não forem atualizados, permanecem vulneráveis a ataques automatizados que exploram falhas conhecidas. Embora não haja relatos confirmados de exploração ativa no momento da divulgação, o histórico recente de campanhas direcionadas contra soluções Ivanti eleva a preocupação de que a vulnerabilidade possa ser integrada rapidamente a kits de exploração ou campanhas de ransomware.
