2 kritische Zero-Day-Schwachstellen in Ivanti EPMM
- Warnmeldung
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor zwei kritischen Sicherheitslücken in der Software Endpoint Manager Mobile (EPMM) von Ivanti. Ivanti stellt Hotfixes und Mitigationsmaßnahmen zur Verfügung.
© Generiert mit Adobe Firefly
Hotfixes sollen Abhilfe schaffen
Das BSI veröffentlichte am 30. Januar 2026 einen BSI-IT-Sicherheitshinweis zu den folgenden zwei kritischen Schwachstellen in Ivanti EPMM:
- CVE-2026-1281 (EUVD-2026-4940) mit einem CVSS-Score von 9.8/10 ermöglicht Angreifenden Remote Code Execution (RCE) und das Abgreifen sensibler Informationen. Laut Ivanti sei diese Lücke bereits mehrfach ausgenutzt worden.
- CVE-2026-1340 (EUVD-2026-4936) mit einem CVSS-Score von 9.8/10 ermöglicht Angreifenden ebenfalls RCE und das Abgreifen sensibler Informationen.
Folgende Ivanti-EPMM-Versionen seien laut BSI von den Sicherheitslücken betroffen:
- 12.7.0.0 und niedriger
- 12.6.0.0 und niedriger
- 12.5.0.0 und niedriger
- 12.6.1.0 und niedriger
- 12.5.1.0 und niedriger
Mit den Hotfixes RPM 12.x.0.x und RPM 12.x.1.x stellt Ivanti Patches bereit, die die Lücken beheben sollen. Weiter finden Sie im unten verlinkten BSI-IT-Sicherheitshinweis Mitigationsmaßnahmen zu den beiden Schwachstellen.
Empfehlungen
- Installieren Sie umgehend und je nach Konfiguration den Hotfix RPM 12.x.0.x oder RPM 12.x.1.x für Ihre Ivanti-EPMM-Version.
- Beachten Sie zusätzlich die vom BSI bereitgestellten Mitigationsmaßnahmen und weiteren Hinweise.