2025年10月13日 IvantiはEndpoint Manager(EPM)に関して、合計13件の脆弱性を公表しました。内訳は、リモートコード実行(RCE)や権限昇格につながる高深刻度の2件(CVE-2025-9713、CVE-2025-11622)と、データ読み取りを許す中程度(CVSS 6.5)のSQLインジェクション11件です。
高リスク脆弱性について
CVE-2025-9713はパストラバーサルが原因で、ユーザー操作を挟むものの、認証不要のリモートからRCEに至る可能性があります(CVSS 8.8)。
CVE-2025-11622は不適切なデシリアライゼーションに起因し、認証済みのローカルユーザーが権限を引き上げられる欠陥です(CVSS 7.8)。この2件については、EPM 2024 SU4での修正が予告され、提供予定日は2025年11月12日と明示されています。
一方、SQLインジェクションの11件(CVE-2025-11623、CVE-2025-62383〜62392)は、認証済みの攻撃者がデータベースから任意の情報を読み出せる問題です。こちらの修正はEPM 2024 SU5(2026年Q1予定)でまとめて提供される計画です。
公表経緯としては、Trend Zero Day Initiative経由の責任ある開示に基づき、Ivantiが回避策とともに先行告知した形です。
パッチ適用計画とEoLの扱い
高深刻2件の修正は2025年11月12日提供予定です。
SQLインジェクションの修正は2026年Q1と時間が空くため、恒久対策が出るまでの監視・隔離・到達制御を運用に落とす必要があります。
EPM 2022は修正が提供されません。当該系統が残っている場合、2024系への短期移行を経営判断としてセットし、移行完了までの間はネットワーク分離(管理ネットのL3/ACLで限定)、外部到達の全面遮断、アカウントの棚卸しを必須条件にしてください。
関連記事
Ivanti、Endpoint Managerの脆弱性を含む複数の脆弱性を修正(CVE-2025-9712,CVE-2025-9872)
Ivanti Endpoint Managerの脆弱性が実際に悪用されている-CISAがKEVへ追加
トロイの木馬化された「jQuery」がnpmやGitHubで拡散
トレンドマイクロのEDRソリューションTrend Micro Apex One徹底解説 最新のサイバーセキュリティ対策と導入ポイント
Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)
NEC「Aterm」シリーズのルーターで複数の脆弱性 不正アクセスで権限乗っ取りの可能性も
東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性
Tableau Server/Desktopに複数の深刻な脆弱性-CVE-2025-26496など修正済み
2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査
