资安业者Ivanti本周发布9月份安全性更新公告，他们针对设备管理系统Endpoint Manager（EPM）、安全通信设备Cloud Service Appliance（CSA），以及用户桌面环境管理工具Workspace Control（IWC）发布更新，其中，包含重大层级漏洞的EPM公告最值得留意。

该公司指出，EPM 2024、EPM 2022 SU5及之前版本当中，总共发现了16个漏洞，其中有10个是重大层级。根据CVSS风险评分的高低，最严重的是达到满分（10分）的CVE-2024-29847，此问题出现在代理程序的门户网站，为未受信任数据的「解串行化（deserialization）」弱点，一旦攻击者利用，就有机会在未通过身分验证的情况下，远程运行任意代码。

其余9个重大层级的弱点，皆为SQL注入漏洞，通过身分验证且具备管理权限的攻击者，有机会远程运行代码，CVSS风险评分都是9.1分。

针对上述漏洞，该公司已为EPM 2024发布了热修补程序，并对于EPM 2022推出SU6更新，值得留意的是，EPM 2024的热修补程序必须已安装特定更新才能套用，对此，他们也规画之后会提供EPM 2024更新套件SU1。