Multiples vulnérabilités dans les produits Ivanti (13 août 2025)

Risques

Atteinte à la confidentialité des données
Déni de service à distance

Systèmes affectés

Connect Secure (ICS) versions antérieures à 22.7R2.8 et 22.8R2
Neurons for Secure Access versions antérieures à 22.8R1.4
Policy Secure (IPS) versions antérieures à 22.7R1.5
Zero Trust Access (ZTA) gateways versions antérieures à 22.8R2.3-723

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Ivanti. Elles permettent à un attaquant de provoquer un déni de service à distance et une atteinte à la confidentialité des données.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Ivanti august-2025-security-update du 12 août 2025

https://www.ivanti.com/blog/august-2025-security-update

Bulletin de sécurité Ivanti August-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-Multiple-CVEs du 12 août 2025

https://forums.ivanti.com/s/article/August-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-Multiple-CVEs

Référence CVE CVE-2025-5456

https://www.cve.org/CVERecord?id=CVE-2025-5456

Référence CVE CVE-2025-5462

https://www.cve.org/CVERecord?id=CVE-2025-5462

Référence CVE CVE-2025-5466

https://www.cve.org/CVERecord?id=CVE-2025-5466

Référence CVE CVE-2025-5468

https://www.cve.org/CVERecord?id=CVE-2025-5468

Avis de sécurité