CERTFR-2025-AVI-0574_Multiples vulnérabilités dans les produits Ivanti
AVIS CERT
CERT-FR
Publié le 9 juillet 2025 à 17h08
Objet
Multiples vulnérabilités dans les produits Ivanti
Référence
CERTFR-2025-AVI-0574
Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Falsification de requêtes côté serveur (SSRF)
- Injection SQL (SQLi)
Systèmes affectés
- Connect Secure versions antérieures à 22.7R2.8
- Endpoint Manager Mobile versions 12.3.0.x antérieures à 12.3.0.3
- Endpoint Manager Mobile versions 12.4.0.x antérieures à 12.4.0.3
- Endpoint Manager Mobile versions 12.5.0.x antérieures à 12.5.0.2
- Endpoint Manager versions 2022 antérieures à 2022 SU8 Security Update 1
- Endpoint Manager versions 2024 antérieures à 2024 SU3
- Policy Secure versions antérieures à 22.7R1.5
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Ivanti. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ivanti July-Security-Advisory-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Multiple-CVEs du 08 juillet 2025
- Bulletin de sécurité Ivanti july-security-update-2025 du 08 juillet 2025
- Bulletin de sécurité Ivanti Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2025-6770-CVE-2025-6771 du 08 juillet 2025
- Bulletin de sécurité Ivanti Security-Advisory-July-2025-for-Ivanti-EPM-2024-SU2-and-EPM-2022-SU8 du 08 juillet 2025
- CVE-2025-0292
- CVE-2025-0293
- CVE-2025-5450
- CVE-2025-5451
- CVE-2025-5463
- CVE-2025-5464
- CVE-2025-6770
- CVE-2025-6771
- CVE-2025-6995
- CVE-2025-6996
- CVE-2025-7037