CERTFR-2025-AVI-0273_Vulnérabilité dans les produits Ivanti
AVIS CERT
CERT-FR
Publié le 3 avril 2025 à 18h38 - Mis à jour le 3 avril 2025 à 18h40
Objet
Vulnérabilité dans les produits Ivanti
Référence
CERTFR-2025-AVI-0273
Risques
- Exécution de code arbitraire à distance
Systèmes affectés
- Pulse Connect Secure versions antérieures à 22.7R2.6
- Zero Trust Access Gateways versions antérieures à 22.8R2.2
- Ivanti Policy Secure (IPS) versions antérieures à 22.7R1.4
- Ivanti Connect Secure (ICS) versions antérieures à 22.7R2.6 (correctif publié le 11 février 2025)
L'éditeur indique que les correctifs seront disponibles le 19 avril 2025 pour Zero Trust Access Gateways et le 21 avril 2025 pour Ivanti Policy Secure. L'éditeur indique que les Pulse Connect Secure en versions 9.1x sont en fin de vie depuis le 31 décembre 2024. Les utilisateurs peuvent contacter Ivanti pour migrer vers une version à jour.
Résumé
Une vulnérabilité a été découverte dans les produits Ivanti. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance. Ivanti indique que la vulnérabilité CVE-2025-22457 est activement exploitée.
Documentation
- Bulletin de sécurité Ivanti April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457
- CVE-2025-22457