人生就是博

首页 > 清静研究 > 研究报告 > 清静误差剖析

【复现】Ivanti Endpoint Manager Mobile远程代码执行误差（CVE-2026-1281和CVE-2026-1340）

宣布时间 2026-02-03

Ivanti Endpoint Manager Mobile(EPMM)，，，原名MobileIron Core，，，是全球领先的企业级统一端点治理（UEM）平台。。。。

2026年1月29日，，，Ivanti宣布更新修复了Ivanti Endpoint Manager Mobile远程代码执行误差（CVE-2026-1281和CVE-2026-1340），，，CVSS评分9.8分（严重）。。。。问题出在Ivanti EPMM在处置惩罚特定URL时，，，Apache会通过RewriteMap功效将URL中的参数直接转达给后端的Bash剧本执行。。。。攻击者在可控的字符串带入了算术扩展上下文，，，导致 Bash递归剖析变量名并触发了反引号中的恶意下令。。。。

凭证攻击面治理平台 Censys 的数据，，，阻止 2026 年2 月 2 日，，，互联网上保存529个潜在的易受攻击Ivanti Endpoint Manager Mobile实例。。。。由于看法验证误差使用程序已经宣布，，，并且该误差已在互联网上普遍撒播，，，因此关于使用Ivanti Endpoint Manager Mobile的组织而言，，，该误差组成了直接且严重的危害。。。。

误差形貌

在Ivanti Endpoint Manager Mobile系统中，，，该系统的Apache RewriteMap设置中由用户提供的输入转达给Bash剧本执行。。。。焦点清静误差是一个Bash算术扩展注入误差，，，允许未经身份验证的攻击者执行恣意系统下令。。。。详细来说：

? Ivanti Endpoint Manager Mobile直接将URL中 sha256: 后的用户输入转达给Bash剧本，，，作为逻辑判断的变量，，，缺乏有用的转义或过滤。。。。

? 剧本内部的算术较量�？？�(( )) 保存递归剖析特征，，，攻击者使用变量间的嵌套引用实现远程代码执行。。。。

Ivanti官方形貌为：A code injection in Ivanti Endpoint Manager Mobile allowing attackers to achieve unauthenticated remote code execution.

影响规模

Ivanti Endpoint Manager Mobile < =12.5.0.0

Ivanti Endpoint Manager Mobile < =12.5.1.0

Ivanti Endpoint Manager Mobile < =12.6.0.0

Ivanti Endpoint Manager Mobile < =12.6.1.0

Ivanti Endpoint Manager Mobile < =12.7.0.0

误差原理

误差源于Apache HTTPd设置了RewriteMap（mapAppStoreURL 和 mapAftStoreURL），，，直接将未经由滤的URL参数转达给底层的Bash剧本，，，触发路径为 /mifs/c/appstore/fob/3/...，，，该路径不需要任何身份验证，，，代码如下：

RewriteRule ^/mifs/c/appstore/fob/3/([0-9]+)/sha256:(.*)/(.*)(.ipa)$ ${mapAppStoreURL:$2_$1_$3_$4_%{HTTP_HOST}_%{ENV:SCRIPT_URL}} [T=application/octet-stream,UnsafePrefixStat]

攻击者可以通过控制sha256:kid=... 后面的字符串，，，将恶意下令注入到Bash剧本处置惩罚流程中，，，剧本路径：/mi/bin/map-appstore-url，，，代码如下：

图片1.png

误差复现

在yakit中发送POC，，，执行ping dnslog下令。。。。

图片2.png

吸收到dnslog验证，，，即ping dnslog下令执行乐成。。。。

图片3.png

清静建议

（1）连忙升级

Ivanti Endpoint Manager Mobile官方已宣布清静通告，，，请按指导举行修复。。。。

（2）暂时缓解步伐

应用暂时RPM补�。。。。�

? 适用于12.5.0.x、12.6.0.x、12.7.0.x版本：install rpm url

https://username:password@support.mobileiron.com/mi/vsp/AB1771634/ivanti-security-update-1761642-1.0.0S-5.noarch.rpm

? 适用于12.5.1.0和12.6.1.0版本：install rpm url

https://username:password@support.mobileiron.com/mi/vsp/AB1771634/ivanti-security-update-1761642-1.0.0L-5.noarch.rpm

参考链接：

[1]https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2026-1281-CVE-2026-1340?language=en_US&ref=labs.watchtowr.com

人生就是博起劲防御实验室（ADLab）

ADLab建设于1999年，，，是中国清静行业最早建设的攻防手艺研究实验室之一，，，微软MAPP妄想焦点成员，，，“黑雀攻击”看法首推者。。。。阻止现在，，，ADLab已通过 CNVD/CNNVD/NVDB/CVE累计宣布清静误差7000余个，，，一连坚持国际网络清静领域一流水准。。。。实验室研究偏向涵盖基础清静研究、运营商基础网络设施清静研究、移动终端清静研究、云清静研究、信创清静研究、物联网清静研究、车联网清静研究、工控清静研究、无线清静研究、数据清静研究、AI清静研究、低空清静研究、高级威胁研究、攻防系统建设。。。。研究效果应用于产品焦点手艺研究、国家重点科技项目攻关、专业清静效劳等。。。。

上一篇

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 人生就是博版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】