文章总结： IvantiEPMM存在高危漏洞CVE-2026-6973（CVSS7.2），该漏洞因输入验证不当导致已认证管理员可远程代码执行。同时披露的还有CVE-2026-5786（访问控制绕过）等4个辅助漏洞，形成从权限提升到RCE的完整攻击链。建议立即升级至12.6.1.1/12.7.0.1/12.8.0.1及以上版本，并强制轮换所有管理员凭据以阻断凭据复用攻击。 综合评分： 95 文章分类： 漏洞分析,漏洞预警,应急响应,解决方案,安全建设

拿Shell只需后台权限？深度剖析 Ivanti EPMM 最新 RCE 漏洞 (CVE-2026-6973)

原创

Kit Chung Kit Chung

安全圈动向

2026年5月12日 08:02 广东

在小说阅读器读本章

去阅读

大家好，最近网安圈子又不太平了，不知道大家的监控报警有没有响？Ivanti 官方紧急发布了安全通告，他们家的明星产品 Endpoint Manager Mobile (EPMM) 爆出了一个高危漏洞，而且已经被发现在野利用！

今天我就跟大家好好盘一盘这次的漏洞。咱们不只看热闹，也从技术原理的角度深入扒一扒，看看这次黑客是怎么玩转 RCE 的。

💣 核心危机：CVE-2026-6973 到底是个什么鬼？

咱们先直奔主题，这次通报中最亮眼（也最致命）的漏洞编号是 CVE-2026-6973，CVSS 评分高达 7.2。

简单来说，这是一个不当输入验证（Improper Input Validation）导致的漏洞。影响的范围主要集中在 EPMM 版本 12.6.1.1、12.7.0.1 和 12.8.0.1 之前。

官方的定性非常直接： “该漏洞允许获得管理访问权限的远程经过身份验证的用户实现远程代码执行 (RCE)。”

🔧 技术路径与原理猜想

虽然目前官方出于保护目的还没有放出完整的 PoC（漏洞证明），但基于咱们以往复现 RCE 的经验和官方描述，这个漏洞的技术路径非常清晰：

• 前置条件（Auth 门槛）：

  攻击者首先需要拿到 Admin 级别的权限。你可能会觉得“都拿到 Admin 了还叫什么漏洞”，但这恰恰是高级 APT 攻击中的关键一环——权限提升与持久化。

• 触发点（输入验证缺陷）：

  漏洞的核心在于 Web 控制台或 API 接口在接收管理员输入时，没有对特殊字符或系统命令执行严格的过滤与转义。

• RCE 拿 Shell：

  攻击者可以通过构造恶意的 Payload（例如在配置项中注入反引号 `、管道符 | 或分号 ;），绕过前端和后端的双重校验。当服务器解析这些配置时，恶意代码被当作系统命令执行，直接拿下服务器的底层 Shell 权限。

⚠️ 防御与排查难点：

官方通报里有一句特别耐人寻味的话： “如果您在今年 1 月份因为 CVE-2026-1281 和 1340 漏洞而听从了我们的建议轮换了凭据，那么您这次被利用的风险将大大降低。”

这说明了什么？说明这次黑客很可能是在“炒冷饭”！很多企业虽然打补丁快，但不改密码、不清理历史 Session。攻击者直接用之前泄露的弱口令或老凭据杀了个回马枪，结合这次的 CVE-2026-6973，行云流水般完成了从后台登录到 RCE 的全过程。

🪆 漏洞全家桶：不止一个 RCE，还有“买一送四”

如果只有一个漏洞那也就罢了，Ivanti 这波补丁其实是个“全家桶”，连带着修复了另外四个高危甚至超危漏洞。为了方便大家快速做资产排查，我给师傅们总结了一下：

• 🔥 CVE-2026-5786 (CVSS 8.8) – 访问控制不当：攻击者能直接绕过验证获得管理权限。（划重点：这个漏洞可以作为 CVE-2026-6973 的前置！两者结合就是完美的无重合一键 GetShell 攻击链！）
• 🚨 CVE-2026-5787 (CVSS 8.9) – 证书验证绕过：这个分最高！远程未授权攻击者可以伪造注册的 Sentry 主机，甚至拿到有效的 CA 签名客户端证书。这简直是中间人攻击（MitM）的温床。
• ⚠️ CVE-2026-5788 (CVSS 7.0) – 任意方法调用：未授权的远程攻击者可以通过存在缺陷的接口，直接调用系统内的敏感方法。
• 🕵️ CVE-2026-7821 (CVSS 7.4) – 证书验证缺陷：未授权攻击者能强行把设备注册到受限网络里，直接导致设备身份被污染，系统信息遭到泄露。

🛡️ 实战建议

这波漏洞的影响力已经惊动了美国网络安全和基础设施安全局 (CISA)，并被火速拉入了 KEV（已知被利用漏洞）目录，要求联邦机构在 2026 年 5 月 10 日前必须修复。这也侧面印证了这些漏洞在实战中的杀伤力。

对于咱们一线的安全运维和蓝队师傅，我建议立刻执行以下三步走：

1. 资产盘点清查：

   赶紧排查自家的 本地部署版 (on-prem) EPMM 资产。

   注：Ivanti Neurons for MDM (云版本)、Ivanti EPM 还有 Sentry 不受这次影响，大家可以松口气。

2. 火线打补丁：

   升级到 12.6.1.1、12.7.0.1 或 12.8.0.1 及以上版本。

3. 核心操作（重中之重）：强制轮换所有管理员凭据！

   别嫌麻烦，不管是密码、API Token 还是证书，统统换一遍！防患于未然，斩断黑客“复用凭据”的后路。

💡 最后

其实从这次的 Ivanti EPMM 漏洞事件咱们可以看出，现在的攻击者越来越倾向于“组合拳”攻击。一个单纯的后台 RCE 也许看起来鸡肋，但如果配合上访问控制绕过漏洞（比如前面的 CVE-2026-5786），威力将成倍放大。

技术的对抗永远是没有终点的猫鼠游戏。平时多看底层逻辑，少抄一键脚本，咱们才能在这行越走越远。

今天的内容就分享到这里，希望能帮到各位在一线踩坑的师傅们。关于这次漏洞的深入分析或后续的 PoC 复现，我会在测试环境跑通后第一时间分享到群里。

如果你觉得这篇文章对你有用，别忘了点个“赞”和“在看”，顺手转发给你们的安全群，提醒兄弟们赶紧起来修漏洞啦！ 我们下期见！👋

IvantiEPMM #CVE20266973 #远程代码执行 #安全漏洞预警 #网络安全 #漏洞复现

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《拿Shell只需后台权限？深度剖析 Ivanti EPMM 最新 RCE 漏洞 (CVE-2026-6973)》