CERTFR-2025-AVI-0877_Multiples vulnérabilités dans les produits Ivanti
AVIS CERT
CERT-FR
Publié le 15 octobre 2025 à 21h18
Objet
Multiples vulnérabilités dans les produits Ivanti
Référence
CERTFR-2025-AVI-0877
Risques
- Atteinte à l'intégrité des données
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
- Injection SQL (SQLi)
- Élévation de privilèges
Systèmes affectés
- Endpoint Manager Mobile versions 12.5.0.x antérieures à 12.5.0.4
- Endpoint Manager Mobile versions 12.6.0.x antérieures à 12.6.0.2
- Endpoint Manager Mobile versions antérieures à 12.4.0.4
- Ivanti Neurons for MDM versions antérieures à R119
L’éditeur indique que le produit Endpoint Manager en version 2022 est en fin de vie et ne bénéficie plus de mises à jour de sécurité. Le correctif de sécurité pour la version 2024 d'Ivanti Endpoint Manager est en cours de développement.
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Ivanti. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une élévation de privilèges et une atteinte à l'intégrité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ivanti October-2025-Security-Advisory-Ivanti-Neurons-for-MDM du 14 octobre 2025
- Bulletin de sécurité Ivanti october-2025-security-update du 14 octobre 2025
- Bulletin de sécurité Ivanti Security-Advisory-Endpoint-Manager-Mobile-EPMM-10-2025-Multiple-CVEs?language=en_US du 14 octobre 2025
- Bulletin de sécurité Ivanti Security-Advisory-Ivanti-Endpoint-Manager-EPM-October-2025 du 14 octobre 2025
- CVE-2025-10242
- CVE-2025-10243
- CVE-2025-10985
- CVE-2025-10986
- CVE-2025-11622
- CVE-2025-11623
- CVE-2025-62383
- CVE-2025-62384
- CVE-2025-62385
- CVE-2025-62386
- CVE-2025-62387
- CVE-2025-62388
- CVE-2025-62389
- CVE-2025-62390
- CVE-2025-62391
- CVE-2025-62392
- CVE-2025-9713