Ivanti Workspace Control硬编码密钥漏洞暴露 SQL 凭据
Ivanti Workspace Control硬编码密钥漏洞暴露 SQL 凭据
Sergiu Gatlan 代码卫士 2025-06-11 10:28
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Ivanti 公司发布安全更新,修复了位于该公司 Workspace Control (IWC) 解决方案中的三个高危硬编码密钥漏洞。
IWC 助力企业管理员管理桌面和应用程序,是操作系统和用户之间的中间角色并规范访问和工作空间配置。它基于策略和用户角色,对用户工作空间进行中心化控制并动态配置桌面、应用程序和用户设置。
所有这三个漏洞均由使用硬编码的、无法更改的密钥引起,如遭成功利用和针对的账号,可导致提权和系统攻陷。
其中两个漏洞(CVE-2025-5353和CVE-2025-22455)可导致本地认证攻击者在运行IWC 10.19.0.0.0和更早版本上解密存储型SQL凭据。第三个漏洞(CVE-2025-22463)可导致本地认证攻击者解密存储型环境密码。Ivanti 公司提到,“Ivanti已经为 Ivanti Workspace Control 发布更新,修复了三个高危漏洞。漏洞如遭成功利用可导致凭据攻陷后果。”
无遭在野活跃利用证据
幸运的是,Ivanti 尚未发现这三个漏洞在披露前遭在野利用的证据。
Ivanti 公司此前曾宣布IWC将在2026年12月达到生命周期,之后将不再对其发布补丁和提供技术支持。5月份,该公司还修复了用于ITSM IT服务管理解决方案的 Neurons 中的一个严重认证绕过漏洞和被用于RCE攻击中的EPMM软件中的两个0day漏洞。
代码卫士试用地址:
https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
Ivanti 修复已用于代码执行攻击中的两个 EPMM 0day 漏洞,与开源库有关
Ivanti 修复 Connect Secure & Policy Secure 中的三个严重漏洞
Ivanti修复Endpoint Manager中的多个严重漏洞
Ivanti提醒注意 Connect Secure 产品中的新0day
原文链接
https://www.bleepingcomputer.com/news/security/ivanti-workspace-control-hardcoded-key-flaws-expose-sql-credentials/
题图:
Pixabay Licen
se
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “
在看
” 或 “
赞
” 吧~