CVE-2025-4428 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Ivanti EPMM API 存在**代码注入**漏洞。 💥 **后果**：攻击者可发送特制请求，直接**执行任意代码**，彻底接管系统。

🔍 **CWE**：CWE-94（代码注入）。 📍 **缺陷点**：**API 组件**未对用户输入进行严格过滤，导致恶意代码被执行。

🏢 **厂商**：Ivanti。 📦 **产品**：Endpoint Manager Mobile (EPMM)。 📅 **版本**：**12.5.0.0 及之前版本**均受影响。

👑 **权限**：获得**系统级**执行权限（CVSS A:H）。 📊 **影响**：完全控制（C:H, I:H），可窃取数据、篡改配置或植入后门。

🔐 **认证**：需要 **High Privileges (PR:H)**。 🚶 **利用**：攻击复杂度 **Low (AC:L)**，无需用户交互 (UI:N)。 ⚠️ 虽需认证，但利用门槛极低。

💻 **PoC**：GitHub 已有现成扫描器/利用链（CVE-2025-4427 & 4428）。 🔗 链接：`github.com/xie-22/CVE-2025-4428`。 🔥 **状态**：技术细节已公开，存在自动化检测工具。

🛡️ **自查**：使用提供的 Python 扫描器进行签名分析。 🔍 **特征**：检测 API 组件是否响应特制注入请求。 📋 **参考**：查看 Ivanti 官方安全公告确认版本。

📢 **官方**：Ivanti 已发布安全公告（Security Advisory）。 🔧 **修复**：建议立即升级至**安全版本**（具体版本需参考官方公告，通常需 >12.5.0.0）。

🚧 **临时规避**： 1. **限制访问**：仅允许受信任 IP 访问 EPMM API。 2. **网络隔离**：在防火墙层阻断对 API 端点的非必要访问。 3. **最小权限**：确保 API 账户权限最小化。

🔥 **优先级**：**高**。 ⚡ **理由**：CVSS 评分高（完整影响），PoC 已公开，且涉及核心移动管理引擎。 🏃 **行动**：立即评估版本，尽快打补丁或实施网络隔离。