文章总结： 该文档详细分析了IvantiEPMM系统的高危RCE漏洞CVE-2026-6973，指出其因不当输入验证导致远程代码执行，受影响版本为12.6.1.1之前。漏洞需管理员权限触发，但攻击者可通过CVE-2026-5786提权形成攻击链。文档提供了升级至安全版本、强制轮换凭证和排查异常日志等防护建议，并强调了在野利用的紧迫性。 综合评分： 85 文章分类： 漏洞分析,渗透测试,应急响应,安全建设,漏洞预警

在野利用确认！带你吃透Ivanti EPMM最新RCE漏洞（CVE-2026-6973）的底层逻辑

原创

Kit Chung Kit Chung

安全圈动向

2026年5月19日 08:03 广东

在小说阅读器读本章

去阅读

今天咱们不聊虚的，直接来盘一个刚刚被CISA（美国网络安全和基础设施安全局）紧急拉入KEV（已知被利用漏洞）名录的重磅漏洞——Ivanti EPMM (Endpoint Manager Mobile) 的高危RCE漏洞：CVE-2026-6973。

目前官方已经确认，这个漏洞正在被黑客进行在野利用（Active Exploitation）。虽然触发条件看似有一道“管理员权限”的门槛，但在实际的攻防场景中，这层窗户纸可能远没有你想象的那么坚固。

今天，我就带大家深挖一下这个漏洞背后的技术细节、攻击者可能采用的利用路径，以及咱们作为防守方该如何破局。

🛠️ 核心漏洞拆解：CVE-2026-6973 到底是个啥？

先来看一眼这个漏洞的基础画像：

• CVE编号

  CVE-2026-6973

• CVSS评分

  7.2 (高危)

• 漏洞类型

  不当输入验证 (Improper Input Validation)导致远程代码执行 (RCE)

• 受影响版本

  12.6.1.1、12.7.0.1、12.8.0.1 之前的版本

划重点：

这个漏洞的本质，在于后端对用户提交的数据缺乏严格的过滤和清洗。

做过代码审计的师傅们都知道，“不当输入验证”简直是RCE的温床。当一个拥有管理员权限的远程认证用户，向EPMM控制台的特定接口发送构造好的恶意载荷（Payload）时，系统由于没有正确转义或拦截这些特殊字符（比如常见的反引号、管道符 |、分号 ; 等），直接将其拼接到了底层系统命令或执行环境中。

这就导致了最致命的后果：攻击者可以在服务器上执行任意系统级代码（RCE）。一旦拿下MDM（移动设备管理）的控制权，基本上就等同于拿下了整个企业移动端资产的“遥控器”。

⚔️ 攻击路径与复现思路探讨

官方通告中提到了一句非常有意思的话：“成功利用该漏洞需要 Admin 身份认证”。很多同学看到这儿可能松了一口气：“切，都拿到Admin了，能RCE不是很正常吗？”

格局小了兄弟！在真实的APT攻击或红队演练中，单点漏洞往往不是孤立存在的。我们来看看攻击者通常是如何打出“组合拳”的：

阶段一：跨越权限的鸿沟（获取Admin）

攻击者怎么拿到Admin？主要有两个路径：

1. 凭证复用/撞库

   Ivanti官方特别提到，如果客户在今年1月份遭遇过之前的漏洞（CVE-2026-1281 和 CVE-2026-1340）且没有及时轮换密码，那么这次被爆破的风险将呈指数级上升。黑客手里的历史密码字典可是非常厚实的。

2. 利用同批次曝光的其他漏洞越权

   这次Ivanti一共修补了5个洞！其中就包括 CVE-2026-5786（CVSS 8.8）——这是一个访问控制不当漏洞，允许远程认证的普通用户直接提权获取管理员权限！

阶段二：打穿底层逻辑（RCE复现推演）

一旦通过 CVE-2026-5786 提权，或者使用泄漏的凭证登录后，攻击者的复现步骤大致如下：

• 抓包分析

  拦截EPMM管理后台中涉及系统配置、设备命令下发、或者日志导出等功能点的HTTP请求。

• Fuzzing测试

  在可控的参数输入点（JSON/XML字段、URL参数或Header）注入常见的命令注入测试语句（如 sleep 10 或 id）。

• Bypass防护

  如果存在简单的WAF或前端正则，通过URL编码、Base64编码或多重转义进行绕过。

• Getshell

  验证存在无回显或有回显的执行漏洞后，写入Webshell或直接反弹反向Shell（Reverse Shell）到C2服务器。

（注：由于该漏洞正处于活跃利用期，出于安全合规考虑，此处不放出具体的EXP代码，大家领会核心逻辑即可。）

🧩 附赠的“全家桶”：另外四个不容忽视的CVE

除了主角，这次Ivanti还修复了另外四个狠角色，可以说涵盖了认证、授权到证书验证的各个重灾区：

• 🔥 CVE-2026-5786 (CVSS 8.8)：访问控制不当。上面提到了，这是获取Admin权限的“神助攻”。
• 🔥 CVE-2026-5787 (CVSS 8.9)：证书验证不当。这个很可怕，无需认证的远程攻击者可以伪装成合法的 Sentry 主机，甚至拿到有效的CA签名客户端证书，直接在信任链上撕开一道口子。
• 🔥 CVE-2026-5788 (CVSS 7.0)：访问控制不当。无需认证即可调用任意方法，API接口鉴权的典型失败案例。
• 🔥 CVE-2026-7821 (CVSS 7.4)：也是证书验证缺陷。允许未认证攻击者将非法设备注册进受限设备池，导致敏感信息泄露。

一句话总结：黑客完全可以利用 5787/5788 进内网，利用 5786 提权，最后用 6973 实现最终的RCE。这就是底层逻辑闭环！

🛡️ 咱们该怎么办？（安全排查指南）

需要澄清一点，这次中招的仅仅是本地部署（on-prem）的 EPMM 产品。如果你家公司用的是云端的 Ivanti Neurons for MDM，或者是同名不同命的 Ivanti EPM，目前是安全的，不用慌。

但如果你恰好是 EPMM 的管理员，请立刻执行以下三步：

1. 连夜打补丁

   将系统升级至 12.6.1.1、12.7.0.1 或 12.8.0.1 及以上版本。（CISA给联邦机构下的死命令是5月10日必须修完，咱们也别拖着了）。

2. 强制轮换凭证

   立刻、马上重置所有管理员密码、API密钥和相关证书。别让年初泄漏的密码成为今天的致命伤。

3. 查杀IOC日志

   重点排查系统日志中是否有异常的终端进程启动、不寻常的IP登录（尤其是国外IP），以及是否有未经授权的配置修改记录。

技术的发展日新月异，安全攻防更是一场没有终点的猫鼠游戏。哪怕是企业级的商业软件，在复杂的架构下也难免百密一疏。

理解漏洞的成因，不仅仅是为了打个补丁，更是为了在咱们自己写代码、做网络规划的时候，把“永远不要相信用户的输入”和“零信任原则”刻在DNA里。

如果你对这次的Ivanti漏洞还有什么疑问，或者在日常运维中遇到了安全排查的棘手问题，欢迎在评论区给我留言，咱们一起交流切磋！

专注分享硬核网络安全干货，咱们下期见！✌️

Ivanti漏洞 #CVE-2026-6973 #网络安全预警 #渗透测试 #RCE漏洞 #漏洞复现 #信息安全 #代码审计

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《在野利用确认！带你吃透Ivanti EPMM最新RCE漏洞（CVE-2026-6973）的底层逻辑》