文章总结： IvantiEPMM曝出严重代码注入漏洞CVE-2026-1281与CVE-2026-1340且正遭在野利用。漏洞源于Bash脚本参数校验缺失，攻击者无需认证即可远程执行高权限命令。鉴于该产品广泛应用于金融及政府机构，可致凭证泄露和内网渗透，安全风险极高，建议立即修复。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,应急响应,WEB安全

【Ivanti在野利用】国内外银行金融政府机构受影响！Ivanti EPMM 爆发未授权远程代码执行漏洞（CVE-2026-1281 & CVE-2026-1340）

原创

wallkone wallkone

星络安全实验室

2026年2月1日 20:05 重庆

| | | — | | 免责声明:文章中涉及的漏洞均已修复，敏感信息均已做打码处理，文章仅做经验分享用途，未授权的攻击属于非法行为!文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责作者不为此承担任何责任，一旦造成后果请自行负责 |

漏洞描述

Ivanti 近期通报，其 Ivanti Endpoint Manager Mobile（EPMM）组件中发现两项严重的代码注入安全缺陷（CVE-2026-1281、CVE-2026-1340），且已被证实正在遭到真实环境中的攻击利用。问题根源在于：Apache HTTPd 调用的 Bash 脚本在进行时间戳校验时，对外部输入参数缺乏有效校验，攻击者可借助 Bash 算术扩展机制，将恶意指令嵌入参数中并触发执行。

在无需任何身份认证的情况下，远程攻击者只需构造特定的 HTTP 请求，即可在受影响服务器上以高权限运行任意系统命令。考虑到 EPMM 广泛部署于金融、政务等关键领域，作为企业级 MDM 的核心管理平台，该漏洞一旦被利用，可能直接导致敏感凭证泄露，并成为内网横向移动的跳板，整体安全风险极高。

影响范围

国内外重要机构，包括银行金融，政府均使用该产品

漏洞复现

经过验证，攻击者可以利用该漏洞任意执行系统命令，甚至反弹shell，获取服务器权限

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：星络安全实验室 wallkone wallkone《【Ivanti在野利用】国内外银行金融政府机构受影响！Ivanti EPMM 爆发未授权远程代码执行漏洞（CVE-2026-1281 & CVE-2026-1340）》