JPCERT コーディネーションセンター(JPCERT/CC)は5月14日、Ivantiの端末管理製品「Endpoint Manager Mobile」(EPMM)に関するセキュリティ注意喚起を発表した。同製品に2件の脆弱(ぜいじゃく)性が発見され、既にごく少数の製品ユーザーで脆弱性の悪用攻撃が確認され、脆弱の影響を受ける同製品の国内での稼働も判明しているという。
Ivantiが米国時間13日に公開した同製品のセキュリティ情報によると、EPMMのバージョン12.5.0.0およびそれ以前、12.4.0.1およびそれ以前、12.3.0.1およびそれ以前、11.12.0.4およびそれ以前には、認証バイパスの脆弱性「CVE-2025-4427」と任意のコード実行の脆弱性「CVE-2025-4428」が存在する。
同社では、脆弱性の深刻度をCVE-2025-4427で「中」、CVE-2025-4428で「高」としているが、脆弱性の悪用によって、攻撃者が認証を経ずに任意のコードを実行する恐れがあると説明。既にごく少数の顧客で悪用攻撃が発生しているとした。
同社は、脆弱性を修正したEPMM バージョン12.5.0.1、12.4.0.2、12.3.0.2、11.12.0.5をリリースし、ユーザーに適用を呼び掛けている。なお、すぐに適用が難しい場合の脆弱性の影響を緩和する方法として、組み込みのポータルアクセスコントロールリスト(ACL)機能もしくは外部のウェブアプリケーションファイアウォール(WAF)を使用したAPIへのアクセス制御などを紹介している。
