文章总结： Ivanti紧急修复Xtraction平台严重漏洞CVE-2026-8043（CVSS9.6），该漏洞源于文件名称外部控制问题，允许认证攻击者绕过限制读取敏感文件并注入恶意HTML进行客户端攻击，影响2026.1及之前版本，建议立即升级至2026.2版本。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,应急响应,数据安全,应用安全

Ivanti 紧急修复暴露敏感数据的严重 Xtraction 漏洞

DDoS DDoS

代码卫士

2026年5月14日 12:04 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

Ivanti发布关于 Xtraction 平台的紧急更新，修复了一个严重漏洞CVE-2026-8043（CVSS评分9.6），可导致严重的数据暴露以及恶意客户端攻击。该漏洞影响2026.1及之前版本，已在2026.2版本中修复。

该漏洞的根因在于 Ivanti Xtraction 应用中的“文件名称的外部控制”，与CWE-22和CWE-73有关，可导致恶意人员绕过标准文件和目录限制。攻击者必须经过远程身份认证才能利用该漏洞，如成功则可获得危险的双重能力：

• 攻击者可读取系统内的高度敏感文件，导致重大信息泄露；
• 直接将任意HTML 文件写入 Web 目录，将用户服务器武器化，对其它不知情用户发动客户端攻击。

该漏洞影响未安装最新安全补丁的旧版和当前部署。虽然官方披露时声称“未发现客户被利用”，但补丁公开后，威胁行动者通常会迅速逆向分析并攻击未修复的系统。官方修复方案已发布，建议立即升级。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

Ivanti 提醒注意已遭利用的 EPMM 高危漏洞

CISA：须在周日前修复已遭利用的 Ivanti EPMM 漏洞

Ivanti Endpoint 管理器漏洞可导致远程攻击者泄露任意数据

Ivanti 提醒注意已遭利用的两个 EPMM 漏洞

Ivanti提醒注意 EPM 中严重的代码执行漏洞

原文链接

Critical 9.6 Severity Ivanti Xtraction Flaw Exposes Sensitive Data

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 DDoS DDoS《Ivanti 紧急修复暴露敏感数据的严重 Xtraction 漏洞》