Risques
- Atteinte à la confidentialité des données
- Déni de service à distance
Systèmes affectés
- Connect Secure (ICS) versions antérieures à 22.7R2.8 et 22.8R2
- Neurons for Secure Access versions antérieures à 22.8R1.4
- Policy Secure (IPS) versions antérieures à 22.7R1.5
- Zero Trust Access (ZTA) gateways versions antérieures à 22.8R2.3-723
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Ivanti. Elles permettent à un attaquant de provoquer un déni de service à distance et une atteinte à la confidentialité des données.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ivanti august-2025-security-update du 12 août 2025 https://www.ivanti.com/blog/august-2025-security-update
- Bulletin de sécurité Ivanti August-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-Multiple-CVEs du 12 août 2025 https://forums.ivanti.com/s/article/August-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-Multiple-CVEs
- Référence CVE CVE-2025-5456 https://www.cve.org/CVERecord?id=CVE-2025-5456
- Référence CVE CVE-2025-5462 https://www.cve.org/CVERecord?id=CVE-2025-5462
- Référence CVE CVE-2025-5466 https://www.cve.org/CVERecord?id=CVE-2025-5466
- Référence CVE CVE-2025-5468 https://www.cve.org/CVERecord?id=CVE-2025-5468
