文章总结： 360漏洞研究院披露IvantiEPMM存在代码注入漏洞CVE-2026-1281及CVE-2026-1340，因Bash脚本参数过滤缺失导致未授权RCE，已在野利用。受影响版本包括12.7.0.0及之前，攻击者可控制服务器并渗透内网。建议立即安装临时RPM补丁或升级至12.8.0.0版本，360相关产品已支持检测。 综合评分： 90 文章分类： 漏洞预警,漏洞分析,解决方案

【在野利用】金融政府机构需警惕！Ivanti EPMM 爆发未授权远程代码执行漏洞（CVE-2026-1281 & CVE-2026-1340）

原创

360漏洞研究院 360漏洞研究院

360漏洞研究院

2026年2月1日 12:03 四川

“扫描下方二维码，进入公众号粉丝交流群。更多一手网安资讯、漏洞预警、技术干货和技术交流等您参与！”

| | | | | | — | — | — | — | | 漏洞概述 | | | | | 漏洞名称 | Ivanti Endpoint Manager Mobile 代码注入漏洞 | | | | 漏洞编号 | CVE-2026-1281 CVE-2026-1340 | | | | 公开时间 | 2026-01-29 | POC状态 | 已公开 | | 漏洞类型 | 代码注入 | EXP状态 | 已公开 | | 利用可能性 | 高 | 技术细节状态 | 已公开 | | CVSS 3.1 | 9.8 | 在野利用状态 | 已发现 |

01

影响组件

Ivanti Endpoint Manager Mobile (EPMM) 是企业级移动设备管理 (MDM/UEM) 平台，核心功能涵盖 iOS、Android 等多终端的策略执行与应用分发。鉴于其在金融、政府等高安全需求行业中作为核心安全基础设施，该组件的安全状态直接影响企业内网资产的访问控制。

02

漏洞描述

近日,Ivanti公司披露了Ivanti Endpoint Manager Mobile (EPMM)中存在的代码注入漏洞(CVE-2026-1281和CVE-2026-1340)，并确认已存在在野利用。该漏洞源于 Apache HTTPd 调用的 Bash 脚本在处理时间戳比较时，未能有效过滤恶意参数，导致攻击者可利用 Bash 算术扩展特性注入系统命令。

远程且未经身份验证的攻击者通过构造特定 HTTP 请求，即可在目标服务器上以高权限执行任意代码。鉴于 EPMM 在金融、政府等行业作为核心 MDM 基础设施，该漏洞将导致企业凭证泄露及内网横向渗透风险，威胁等级极高。

03

漏洞复现

360 漏洞研究院已复现Ivanti Endpoint Manager Mobile 代码注入漏洞（CVE-2026-1281 & CVE-2026-1340），经验证，攻击者可利用该漏洞在目标服务器上执行任意系统命令并获取反弹 Shell。

图1：发送Payload

图2：CVE-2026-1281 & CVE-2026-1340

Ivanti Endpoint Manager Mobile 代码注入漏洞复现

04

漏洞影响范围

受影响的 Ivanti Endpoint Manager Mobile 版本包括：

12.5.0.0 及之前的所有版本

12.5.1.0 及之前的所有版本

12.6.0.0 及之前的所有版本

12.6.1.0 及之前的所有版本

12.7.0.0 及之前的所有版本

05

修复建议

应用临时RPM补丁：

适用于12.5.0.x、12.6.0.x、12.7.0.x版本：

install rpm url https://username:[email protected]/mi/vsp/AB1771634/ivanti-security-update-1761642-1.0.0S-5.noarch.rpm

适用于12.5.1.0和12.6.1.0版本：

install rpm url https://username:[email protected]/mi/vsp/AB1771634/ivanti-security-update-1761642-1.0.0L-5.noarch.rpm

将上述命令中的username和password替换为您的Ivanti软件下载凭证,无需停机即可应用。

正式防护方案：

等待2026年Q1季度发布的 12.8.0.0 版本，该版本包含永久修复，升级后无需重新应用RPM补丁。

06

产品侧支持情况

360安全智能体：支持该漏洞攻击的智能分析。

360测绘云 Quake：默认支持该产品的指纹识别。

360高级持续性威胁预警系统：预计 2026年2月2日发布规则更新包，支持该漏洞利用行为的检测。

360资产与漏洞检测管理系统：预计 2026年2月2日发布规则更新包，支持该漏洞利用行为的检测。 本地安全大脑：默认支持该漏洞的PoC检测。

07

时间线

2026年2月1日，360漏洞研究院发布本安全风险通告。

08

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2026-1281

https://nvd.nist.gov/vuln/detail/CVE-2026-1340

09

更多漏洞情报

建议您订阅360数字安全-漏洞情报服务，获取更多漏洞情报详情以及处置建议，让您的企业远离漏洞威胁。

邮箱：[email protected]

网址：https://vi.loudongyun.360.net

“洞”悉网络威胁，守护数字安全

关于我们

360 漏洞研究院，隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”，并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个，收获诸多官方公开致谢。研究院也屡次受邀在BlackHat，Usenix Security，Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果，并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力，帮助各大企业厂商不断完善系统安全，为数字安全保驾护航，筑造数字时代的安全堡垒。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：360漏洞研究院 360漏洞研究院 360漏洞研究院《【在野利用】金融政府机构需警惕！Ivanti EPMM 爆发未授权远程代码执行漏洞（CVE-2026-1281 & CVE-2026-1340）》