尊龙凯时

首页 > 清静研究 > 研究报告 > 清静误差剖析

【复现】Ivanti Endpoint Manager Mobile远程代码执行误差（CVE-2026-1281和CVE-2026-1340）

宣布时间 2026-02-03

Ivanti Endpoint Manager Mobile(EPMM)，原名MobileIron Core，是全球领先的企业级统一端点治理（UEM）平台。

2026年1月29日，Ivanti宣布更新修复了Ivanti Endpoint Manager Mobile远程代码执行误差（CVE-2026-1281和CVE-2026-1340），CVSS评分9.8分（严重）。问题出在Ivanti EPMM在处置惩罚特定URL时，Apache会通过RewriteMap功效将URL中的参数直接转达给后端的Bash剧本执行。攻击者在可控的字符串带入了算术扩展上下文，导致 Bash递归剖析变量名并触发了反引号中的恶意下令。

凭证攻击面治理平台 Censys 的数据，阻止 2026 年2 月 2 日，互联网上保存529个潜在的易受攻击Ivanti Endpoint Manager Mobile实例。由于看法验证误差使用程序已经宣布，并且该误差已在互联网上普遍撒播，因此关于使用Ivanti Endpoint Manager Mobile的组织而言，该误差组成了直接且严重的危害。

误差形貌

在Ivanti Endpoint Manager Mobile系统中，该系统的Apache RewriteMap设置中由用户提供的输入转达给Bash剧本执行。焦点清静误差是一个Bash算术扩展注入误差，允许未经身份验证的攻击者执行恣意系统下令。详细来说：

? Ivanti Endpoint Manager Mobile直接将URL中 sha256: 后的用户输入转达给Bash剧本，作为逻辑判断的变量，缺乏有用的转义或过滤。

? 剧本内部的算术较量模块(( )) 保存递归剖析特征，攻击者使用变量间的嵌套引用实现远程代码执行。

Ivanti官方形貌为：A code injection in Ivanti Endpoint Manager Mobile allowing attackers to achieve unauthenticated remote code execution.

影响规模

Ivanti Endpoint Manager Mobile < =12.5.0.0

Ivanti Endpoint Manager Mobile < =12.5.1.0

Ivanti Endpoint Manager Mobile < =12.6.0.0

Ivanti Endpoint Manager Mobile < =12.6.1.0

Ivanti Endpoint Manager Mobile < =12.7.0.0

误差原理

误差源于Apache HTTPd设置了RewriteMap（mapAppStoreURL 和 mapAftStoreURL），直接将未经由滤的URL参数转达给底层的Bash剧本，触发路径为 /mifs/c/appstore/fob/3/...，该路径不需要任何身份验证，代码如下：

RewriteRule ^/mifs/c/appstore/fob/3/([0-9]+)/sha256:(.*)/(.*)(.ipa)$ ${mapAppStoreURL:$2_$1_$3_$4_%{HTTP_HOST}_%{ENV:SCRIPT_URL}} [T=application/octet-stream,UnsafePrefixStat]

攻击者可以通过控制sha256:kid=... 后面的字符串，将恶意下令注入到Bash剧本处置惩罚流程中，剧本路径：/mi/bin/map-appstore-url，代码如下：

图片1.png

误差复现

在yakit中发送POC，执行ping dnslog下令。

图片2.png

吸收到dnslog验证，即ping dnslog下令执行乐成。

图片3.png

清静建议

（1）连忙升级

Ivanti Endpoint Manager Mobile官方已宣布清静通告，请按指导举行修复。

（2）暂时缓解步伐

应用暂时RPM补�。�

? 适用于12.5.0.x、12.6.0.x、12.7.0.x版本：install rpm url

https://username:password@support.mobileiron.com/mi/vsp/AB1771634/ivanti-security-update-1761642-1.0.0S-5.noarch.rpm

? 适用于12.5.1.0和12.6.1.0版本：install rpm url

https://username:password@support.mobileiron.com/mi/vsp/AB1771634/ivanti-security-update-1761642-1.0.0L-5.noarch.rpm

参考链接：

[1]https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US&ref=labs.watchtowr.com

尊龙凯时起劲防御实验室（ADLab）

ADLab建设于1999年，是中国清静行业最早建设的攻防手艺研究实验室之一，微软MAPP妄想焦点成员，“黑雀攻击”看法首推者。阻止现在，ADLab已通过 CNVD/CNNVD/NVDB/CVE累计宣布清静误差7000余个，一连坚持国际网络清静领域一流水准。实验室研究偏向涵盖基础清静研究、运营商基础网络设施清静研究、移动终端清静研究、云清静研究、信创清静研究、物联网清静研究、车联网清静研究、工控清静研究、无线清静研究、数据清静研究、AI清静研究、低空清静研究、高级威胁研究、攻防系统建设。研究效果应用于产品焦点手艺研究、国家重点科技项目攻关、专业清静服务等。

上一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号