[TLP:CLEAR] Ivanti opravuje 4 zranitelnosti
Ivanti opravuje 4 zranitelnosti v produktech Ivanti Connect Secure, Policy Secure, ZTA Gateways a Neurons for Secure Access [1]. Produkty a jejich opravy [1]: Ivanti Connect Secure - 22.7R2.8, 22.8R2 Ivanti Policy Secure - 22.7R1.5 Ivanti ZTA Gateway - 22.8R2.3-723 Ivanti Neurons for Secure Access - 22.8R1.4
Neautentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu buffer over-read umožněno vykonat DoS útok [1].
Zranitelnost se nachází v produktech:
- Ivanti Connect Secure ve verzích <=22.7R2.7
- Ivanti Policy Secure ve verzích <=22.7R1.4
- Ivanti ZTA Gateway ve verzích =22.8R2.2
- Ivanti Neurons for Secure Access ve verzích <=22.8R1.3
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-5456 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-125: Out-of-bounds Read at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 8. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu heap-based buffer overflow umožněno vykonat DoS útok [1].
Zranitelnost se nachází v produktech:
- Ivanti Connect Secure ve verzích <=22.7R2.7
- Ivanti Policy Secure ve verzích <=22.7R1.4
- Ivanti ZTA Gateway ve verzích =22.8R2.2
- Ivanti Neurons for Secure Access ve verzích <=22.8R1.3
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-5462 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
- CWE-476: NULL Pointer Dereference at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 8. 2025.
Autentizovanému lokálnímu útočníkovi je kvůli nesprávnému zacházení se symbolickými odkazy umožněno číst libovolné soubory na disku [1].
Zranitelnost se nachází v produktech:
- Ivanti Connect Secure ve verzích <=22.7R2.7
- Ivanti Policy Secure ve verzích <=22.7R1.4
- Ivanti ZTA Gateway ve verzích =22.8R2.2
- Ivanti Neurons for Secure Access ve verzích <=22.8R1.3
CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2025-5468 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-61: UNIX Symbolic Link (Symlink) Following at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 8. 2025.
Autentizovanému vzdálenému útočníkovi s administrátorskými oprávněními je kvůli zranitelnosti typu XEE umožněno vykonat DoS útok [1].
Zranitelnost se nachází v produktech:
- Ivanti Connect Secure ve verzích <=22.7R2.7
- Ivanti Policy Secure ve verzích <=22.7R1.4
- Ivanti ZTA Gateway ve verzích =22.8R2.2
- Ivanti Neurons for Secure Access ve verzích <=22.8R1.3
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-5466 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-776: Improper Restriction of Recursive Entity References in DTDs ('XML Entity Expansion') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 12. 8. 2025.
Za CESNET-CERTS Michaela Jarošová dne 14. 8. 2025.
