Softwarebedrijf Ivanti heeft een beveiligingsupdate uitgebracht voor een kritieke cross-site scripting (XSS) kwetsbaarheid in Endpoint Manager (EPM) waardoor een ongeauthenticeerde aanvaller op afstand willekeurige JavaScript-code in de sessie van een ingelogde administrator kan uitvoeren. De impact van het beveiligingslek (CVE-2025-10573) is op een schaal van 1 tot en met 10 beoordeeld met een 9.6.

Via Ivanti Endpoint Manager kunnen organisaties laptops, smartphones en servers beheren. Dit wordt gedaan door middel van de EPM-server die met een agent op beheerde clients communiceert. Een gecompromitteerde EPM-server of administrator-account kan dan ook vergaande gevolgen hebben. Ivanti EPM is in het verleden meerdere keren doelwit geweest van aanvallen waarbij misbruik werd gemaakt van kwetsbaarheden waar op het moment van de aanval nog geen beveiligingsupdate voor beschikbaar was.

Via de JavaScript-code die een aanvaller via CVE-2025-10573 kan uitvoeren, is het mogelijk om allerlei acties binnen de EPM-omgeving uit te voeren. Volgens Ivanti zijn er geen aanwijzingen bekend dat aanvallers actief misbruik van CVE-2025-10573 maken. Misbruik van het Stored XSS-lek vereist interactie van gebruikers, maar verdere informatie wordt niet door Ivanti gegeven.

De kwetsbaarheid werd gevonden door securitybedrijf Rapid7, dat meer informatie over het probleem heeft. Volgens Rapid7 kan een aanvaller via het lek de sessie van de ingelogde administrator overnemen. Om de malafide XSS-code in het web dashboard van de administrator te krijgen volstaat het versturen van een zogenaamde 'device scan'. Ivanti EPM biedt een API waarmee het informatie van gescande apparaten verwerkt. Een ongeauthenticeerde aanvaller kan aan deze API een speciaal geprepareerde scan aanbieden, inclusief de XSS-code, die automatisch wordt verwerkt en de onveilige code vervolgens in het dashboard van een ingelogde admin uitvoert. De enige vereist is dat de admin de pagina met apparaatinformatie bekijkt.