Ivanti به کاربران هشدار می دهد که نرم افزار مدیریت دستگاه تلفن همراه Endpoint Manager Mobile (EPMM) خود (که قبلا MobileIron Core نامیده می شد) را به آخرین نسخه ای که آسیب پذیری روز صفر به طور فعال مورد سوء استفاده قرار گرفته را برطرف می کند، به روز رسانی کنند.

این مشکل با نام CVE-2023-35078 به عنوان یک آسیب‌پذیری دسترسی API تأیید نشده از راه دور توصیف شده است که نسخه‌های 11.10، 11.9 و 11.8 نسخه‌های 11.4 پشتیبانی‌شده فعلی و همچنین نسخه‌های قدیمی‌تر را تحت تأثیر قرار می‌دهد. دارای حداکثر درجه شدت 10 در مقیاس CVSS است.

این شرکت در توصیه‌ای کوتاه گفت: «یک آسیب‌پذیری دور زدن احراز هویت در Ivanti EPMM به کاربران غیرمجاز اجازه می‌دهد تا به عملکرد یا منابع محدود برنامه بدون احراز هویت مناسب دسترسی داشته باشند.

در صورت سوء استفاده، این آسیب‌پذیری به یک بازیگر غیرمجاز و از راه دور (رو به اینترنت) امکان می‌دهد تا به طور بالقوه به اطلاعات شناسایی شخصی کاربران دسترسی داشته باشد و تغییرات محدودی در سرور ایجاد کند.»

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) گفت که دشمنی که به مسیرهای API دسترسی دارد می تواند از آنها برای به دست آوردن اطلاعات شناسایی شخصی (PII) مانند نام، شماره تلفن و سایر جزئیات دستگاه تلفن همراه برای کاربران در یک سیستم آسیب پذیر سوء استفاده کند.​