Multiples vulnérabilités dans les produits Ivanti

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Déni de service à distance
Exécution de code arbitraire à distance
Falsification de requêtes côté serveur (SSRF)
Injection SQL (SQLi)

Systèmes affectés

Connect Secure versions antérieures à 22.7R2.8
Endpoint Manager Mobile versions 12.3.0.x antérieures à 12.3.0.3
Endpoint Manager Mobile versions 12.4.0.x antérieures à 12.4.0.3
Endpoint Manager Mobile versions 12.5.0.x antérieures à 12.5.0.2
Endpoint Manager versions 2022 antérieures à 2022 SU8 Security Update 1
Endpoint Manager versions 2024 antérieures à 2024 SU3
Policy Secure versions antérieures à 22.7R1.5

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Ivanti. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Ivanti July-Security-Advisory-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Multiple-CVEs du 08 juillet 2025

https://forums.ivanti.com/s/article/July-Security-Advisory-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Multiple-CVEs

Bulletin de sécurité Ivanti july-security-update-2025 du 08 juillet 2025

https://www.ivanti.com/blog/july-security-update-2025

Bulletin de sécurité Ivanti Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2025-6770-CVE-2025-6771 du 08 juillet 2025

https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2025-6770-CVE-2025-6771

Bulletin de sécurité Ivanti Security-Advisory-July-2025-for-Ivanti-EPM-2024-SU2-and-EPM-2022-SU8 du 08 juillet 2025

https://forums.ivanti.com/s/article/Security-Advisory-July-2025-for-Ivanti-EPM-2024-SU2-and-EPM-2022-SU8

Référence CVE CVE-2025-0292

https://www.cve.org/CVERecord?id=CVE-2025-0292

Référence CVE CVE-2025-0293

https://www.cve.org/CVERecord?id=CVE-2025-0293

Référence CVE CVE-2025-5450

https://www.cve.org/CVERecord?id=CVE-2025-5450

Référence CVE CVE-2025-5451

https://www.cve.org/CVERecord?id=CVE-2025-5451

Référence CVE CVE-2025-5463

https://www.cve.org/CVERecord?id=CVE-2025-5463

Référence CVE CVE-2025-5464

https://www.cve.org/CVERecord?id=CVE-2025-5464

Référence CVE CVE-2025-6770

https://www.cve.org/CVERecord?id=CVE-2025-6770

Référence CVE CVE-2025-6771

https://www.cve.org/CVERecord?id=CVE-2025-6771

Référence CVE CVE-2025-6995

https://www.cve.org/CVERecord?id=CVE-2025-6995

Référence CVE CVE-2025-6996

https://www.cve.org/CVERecord?id=CVE-2025-6996

Référence CVE CVE-2025-7037

https://www.cve.org/CVERecord?id=CVE-2025-7037

Référence	CERTFR-2025-AVI-0574
Titre	Multiples vulnérabilités dans les produits Ivanti
Date de la première version	09 juillet 2025
Date de la dernière version	09 juillet 2025
Source(s)	Bulletin de sécurité Ivanti July-Security-Advisory-Ivanti-Connect-Secure-and-Ivanti-Policy-Secure-Multiple-CVEs du 08 juillet 2025 Bulletin de sécurité Ivanti july-security-update-2025 du 08 juillet 2025 Bulletin de sécurité Ivanti Security-Advisory-Ivanti-Endpoint-Manager-Mobile-EPMM-CVE-2025-6770-CVE-2025-6771 du 08 juillet 2025 Bulletin de sécurité Ivanti Security-Advisory-July-2025-for-Ivanti-EPM-2024-SU2-and-EPM-2022-SU8 du 08 juillet 2025

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Ivanti

Gestion du document

Risques

Systèmes affectés

Résumé

Solutions

Documentation

Gestion détaillée du document