企業級軟體供應商 Ivanti 與遠距協作平台領導者 Zoom 近日皆發布了重大的安全公告，修復了其產品中多個可能導致嚴重資安後果的高風險漏洞，提醒全球用戶須提高警覺並採取行動。

企業軟體供應商 Ivanti 和 Zoom 週二宣布對其產品中的多個漏洞進行修補，其中包括可能導致任意檔案寫入和程式碼執行的高風險問題。這些漏洞一旦被惡意利用，可能導致攻擊者在受影響的系統上執行任意程式碼、獲取敏感資訊或提升權限。

Ivanti宣布修復 Ivanti Endpoint Manager (EMP) 中的三個漏洞，這些漏洞可能被未經身份驗證的攻擊者利用來執行遠端程式碼，或被本地攻擊者利用來提升權限。其中兩個漏洞，編號分別為CVE-2025-9713 和 CVE-2025-11622，這兩個漏洞分別是路徑遍歷漏洞和反序列化不安全漏洞。第三個漏洞，CVE-2025-10918，是一個預設權限不安全的弱點。
針對 Ivanti Endpoint Manager（EPM）的修復尤其關鍵，因為該平台在企業環境中扮演著核心的端點管理角色。CVE-2025-9713 和 CVE-2025-11622 這兩個漏洞先前在十月就已被 Trend Micro 的 Zero Day Initiative (ZDI) 披露，該機構當時發布了 EPM 中 13 個尚未修補的缺陷。這些缺陷的性質，特別是反序列化不安全和路徑遍歷問題，為攻擊者提供了繞過身份驗證並執行遠端程式碼的機會。第三個漏洞 CVE-2025-10918 則是一個危險的預設權限設定缺陷。Ivanti 指出，所有 EPM 版本在 2024 SU4 之前都受到這些漏洞的影響，強烈建議用戶儘速更新部署。在發布公告時，Ivanti 表示尚未發現有客戶遭受利用。

週二，Zoom發布了九份安全公告，詳細介紹了其行動用戶端和桌面用戶端中的三個高風險漏洞和六個中等危險漏洞。這些高風險漏洞分別編號為 CVE-2025-62484、CVE-2025-64741 和 CVE-2025-64740，可能導致權限提升。前兩個漏洞影響 Zoom 的 iOS 和 Android 應用程序，而第三個漏洞則在 Zoom Workplace VDI Client for Windows 中被發現。 除了這三個高風險的權限提升漏洞外，Zoom 修補的六個中等危險漏洞中，有五個可能導致資訊洩露，影響 Linux、macOS 和 Windows 的桌面應用程式。第六個是 Zoom Workplace 和 Meeting SDK for Windows 中的跨站點腳本（XSS）缺陷，可被未經身份驗證的攻擊者利用，影響應用程式完整性。 鑒於 Zoom 在全球遠距辦公和教育領域的普及性，這些客戶端漏洞影響範圍廣泛，任何權限提升漏洞都可能允許攻擊者從標準使用者帳戶提升至更高權限，進而控制受害者的設備或竊取資料。雖然 Zoom 並未提及這些漏洞有被積極利用的跡象，但其廣泛的用戶基礎意味著一旦漏洞被公開利用，將會造成巨大影響。

面對這波資安修補潮，企業組織和個人用戶應立即將 Ivanti EPM 升級至最新版本，並確保所有 Zoom 桌面與行動客戶端，特別是 VDI 用戶端，都已更新到廠商提供的安全版本，以最大限度地降低被遠端攻擊和權限提升的風險。