1.     漏洞分析

a)     组件介绍

Pixel & Tonic-Craft CMS 是一个流行的内容管理系统（CMS），它专注于为设计师和开发人员提供灵活的工具，以便他们可以创建精美的网站和数字体验‌。

b)     漏洞描述

2025年4月28日，深瞳漏洞实验室监测到一则Pixel & Tonic-Craft CMS组件存在代码执行漏洞的信息，漏洞编号：CVE-2025-32432，漏洞威胁等级：严重。

Craft CMS存在一个严重的安全漏洞，该与 Yii 框架中的另一个输入验证漏洞（CVE-2024-58136）结合在一起，可以被未授权的攻击者恶意利用来入侵服务器并窃取敏感数据。注意：该漏洞攻击细节已披露并存在在野利用行为。

2.     影响范围

目前受影响的Pixel & Tonic-Craft CMS版本：

3.0.0-RC1 ≤ Craft CMS < 3.9.15

4.0.0-RC1 ≤ Craft CMS < 4.14.15

5.0.0-RC1 ≤ Craft CMS < 5.6.17

3.     解决方案

官方修复建议

官方已发布最新版本修复该漏洞。建议受影响用户将Craft CMS更新到以下版本：

Craft CMS 3.9.15

Craft CMS 5.6.17

Craft CMS 4.14.15

下载链接：https://github.com/craftcms/cms/releases

二、     Ivanti EPMM 未授权远程代码执行(CVE-2025-4428)

1.     漏洞分析

1)     组件介绍

Ivanti Endpoint Manager Mobile 是一款移动设备管理（MDM）软件，旨在帮助企业管理其员工使用的移动设备。它可以帮助企业管理和保护移动设备、应用程序和数据，以确保企业数据的安全性和合规性。Ivanti Endpoint Manager Mobile 可以管理各种移动设备，包括 iOS、Android 和 Windows 设备。它提供了一系列功能，包括设备配置、应用程序管理、数据保护、网络访问控制、远程锁定和擦除等。

2)     漏洞描述

2025年5月16日，深瞳漏洞实验室监测到一则Ivanti-Endpoint-Manager-Mobile组件存在代码执行漏洞的信息，漏洞编号：CVE-2025-4428，漏洞威胁等级：高危。

Ivanti Endpoint Manager Mobile 存在一个远程代码执行漏洞，未授权的攻击者可以利用CVE-2025-4427和CVE-2025-4428在目标系统执行任意代码，导致服务器失陷。注：该漏洞已存在攻击代码披露。

2.     影响范围

目前受影响的Ivanti-Endpoint-Manager-Mobile版本：

11.0.0.0 ≤ Ivanti EPMM < 11.12.0.5

12.3.0.0 ≤ Ivanti EPMM < 12.3.0.2

12.4.0.0 ≤ Ivanti EPMM < 12.4.0.2

Ivanti EPMM 12.5.0.0

3.     解决方案

官方修复建议

官方已发布最新版本修复该漏洞，建议受影响用户将Ivanti EPMM更新到以下版本：

Ivanti EPMM 11.12.0.5

Ivanti EPMM 12.3.0.2

Ivanti EPMM 12.4.0.2

Ivanti EPMM 12.5.0.1

下载链接：https://forums.ivanti.com/s/product-downloads