文章总结: 本文披露IvantiEPMM关键零日漏洞CVE-2026-1281,攻击者可未经认证执行任意代码并控制服务器。文档详细说明了受影响版本及Python检测脚本的使用方法,根据HTTP状态码和响应时间判断漏洞风险。建议立即应用紧急补丁或升级至12.8.0.0版本,限制外部访问并审查日志,云托管服务不受影响。 综合评分: 95 文章分类: 漏洞预警,漏洞分析,漏洞POC,应急响应
CVE-2026-1281 — 关键零日漏洞
原创
网络安全民工 网络安全民工
网络安全民工
2026年2月1日 20:28 北京
🔐 概述
CVE-2026-1281 是 Ivanti Endpoint Manager Mobile (EPMM) 中的一个关键远程代码执行(RCE)漏洞。
-
🔥 严重程度:危急(CVSS ~9.8)
-
🎯 攻击类型:未认证代码注入
-
⚠️
状态:在野外被积极利用(零日)
🧠 风险是什么?
攻击者可以:
- 远程🖥️执行任意命令
- 全面控制易受攻击的EPMM服务器
- 访问或作受管移动设备 📱
无需登录——这使得这尤其危险。
以下是改进版(彩色和更美观)版本的简短、清晰的逐步使用指南:
文件名
CVE-2026-1281.py
逐步使用方法
- 保存代码
将整个脚本复制到一个名为
CVE-2026-1281.py - 让它可运行(Linux / macOS / WSL)
chmod +x CVE-2026-1281.py
- 运行它——从以下几项中选一个:
# Normal usage — most commonpython3 CVE-2026-1281.py https://mdm.yourcompany.com# With more detailpython3 CVE-2026-1281.py https://192.168.50.10 -v# Different port (common on appliances)python3 CVE-2026-1281.py https://192.168.1.100:8443
你会看到的内容(最常见的输出)
1. 看起来安全/可能已经修补过(最佳效果)
════════════════════════════════════════════════════════════════════
CVE-2026-1281 / CVE-2026-1340 — Safe Check
Only authorized targets • No payloads • Read-only
════════════════════════════════════════════════════════════════════
Target : https://mdm.example.com/
⋯ Fingerprinting... ✓ Looks like EPMM
⋯ Checking known paths...
✓ /mifs/c/appstore/fob/ 404 92ms / 98ms 404 — expected
✓ /mifs/c/aftstore/fob/ 404 89ms / 95ms 404 — expected
────────────────────────────────────────────────────────────────────
SUMMARY
✓ All tested paths return 404 • No suspicious behavior
→ Strong indication: patched or feature disabled
→ Next steps:
• Confirm January 2026 patch or newer is installed
• Restrict public access to /mifs/
• Review logs for exploit attempts
2. 看起来可疑(可能有问题)
✓ /mifs/c/appstore/fob/ 200 110ms / 920ms 200 — exists/protected • Timing Δ 810 ms — suspicious
────────────────────────────────────────────────────────────────────
SUMMARY
⚠ Suspicious behavior detected (timing / response)
→ Possible vulnerability — patch & investigate now
3. 无法判断/错误
✗ /mifs/c/appstore/fob/ ERR — failed: timeout
────────────────────────────────────────────────────────────────────
SUMMARY
✗ Mixed / unclear results — check version manually
快速解读
-
两条路径上的绿色✓+404
很可能安全/已补丁→
-
⚠ 黄色+大时序差异或200/403
→紧急的可疑的→补丁
-
红色✗或脚本
无法直接决定→检查版本→错误
🧩 受影响的系统
本地部署的 Ivanti EPMM 版本,包括:
- 12.5.x 及更早版本
- 12.6.x 及更早版本
- 12.7.x 及更早版本
✅ 云托管的Ivanti服务不受影响。
🛠️ 你该怎么办?
⚡ 立即行动
-
应用Ivanti的紧急补丁(RPM热修复)。
-
尽可能限制外部对EPMM的访问。
-
监控日志
中的可疑活动。
🧱 永久修复
- Ivanti计划在EPMM 12.8.0.0(2026年第一季度)实现全面修复。
🔍 如果你怀疑有妥协
- 检查一下网页壳或异常脚本
- 审查管理员作和设备策略变更
- 考虑从干净备份恢复或重建服务器
🏛️ 官方地位
- 新增于 CISA 已知被利用漏洞(KEV)目录
- 现实世界攻击中被主动针对
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:网络安全民工 网络安全民工 网络安全民工《CVE-2026-1281 — 关键零日漏洞》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论