CERTFR-2025-AVI-0768_Multiples vulnérabilités dans les produits Ivanti
AVIS CERT
CERT-FR
Publié le 10 septembre 2025 à 15h11
Objet
Multiples vulnérabilités dans les produits Ivanti
Référence
CERTFR-2025-AVI-0768
Risques
- Atteinte à l'intégrité des données
- Atteinte à la confidentialité des données
- Contournement de la politique de sécurité
- Déni de service à distance
- Exécution de code arbitraire à distance
- Falsification de requêtes côté serveur (SSRF)
- Injection de code indirecte à distance (XSS)
- Injection de requêtes illégitimes par rebond (CSRF)
Systèmes affectés
- Connect Secure versions antérieures à 22.7R2.9
- Endpoint Manager versions 2022 SU8 antérieures à 2022 SU8 Security Release 2
- Endpoint Manager versions 2024 SU3 antérieures à 2024 SU3 Security Release 1
- Neurons pour Secure Access versions antérieures à 22.8R1.4
- Policy Secure versions antérieures à 22.7R1.5
- ZTA Gateways versions antérieures à 22.8R2.3-723
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Ivanti. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ivanti Security-Advisory-September-2025-for-Ivanti-EPM-2024-SU3-and-EPM-2022-SU8 du 09 septembre 2025
- Bulletin de sécurité Ivanti september-2025-security-update du 09 septembre 2025
- Bulletin de sécurité Ivanti September-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-and-Neurons-for-Secure-Access-Multiple-CVEs du 09 septembre 2025
- CVE-2025-55139
- CVE-2025-55141
- CVE-2025-55142
- CVE-2025-55143
- CVE-2025-55144
- CVE-2025-55145
- CVE-2025-55146
- CVE-2025-55147
- CVE-2025-55148
- CVE-2025-8711
- CVE-2025-8712
- CVE-2025-9712
- CVE-2025-9872