Multiples vulnérabilités dans les produits Ivanti

Risques

Atteinte à l'intégrité des données
Atteinte à la confidentialité des données
Contournement de la politique de sécurité
Déni de service à distance
Exécution de code arbitraire à distance
Falsification de requêtes côté serveur (SSRF)
Injection de code indirecte à distance (XSS)
Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

Connect Secure versions antérieures à 22.7R2.9
Endpoint Manager versions 2022 SU8 antérieures à 2022 SU8 Security Release 2
Endpoint Manager versions 2024 SU3 antérieures à 2024 SU3 Security Release 1
Neurons pour Secure Access versions antérieures à 22.8R1.4
Policy Secure versions antérieures à 22.7R1.5
ZTA Gateways versions antérieures à 22.8R2.3-723

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Ivanti. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletin de sécurité Ivanti Security-Advisory-September-2025-for-Ivanti-EPM-2024-SU3-and-EPM-2022-SU8 du 09 septembre 2025

https://forums.ivanti.com/s/article/Security-Advisory-September-2025-for-Ivanti-EPM-2024-SU3-and-EPM-2022-SU8

Bulletin de sécurité Ivanti september-2025-security-update du 09 septembre 2025

https://www.ivanti.com/blog/september-2025-security-update

Bulletin de sécurité Ivanti September-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-and-Neurons-for-Secure-Access-Multiple-CVEs du 09 septembre 2025

https://forums.ivanti.com/s/article/September-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-and-Neurons-for-Secure-Access-Multiple-CVEs

Référence CVE CVE-2025-55139

https://www.cve.org/CVERecord?id=CVE-2025-55139

Référence CVE CVE-2025-55141

https://www.cve.org/CVERecord?id=CVE-2025-55141

Référence CVE CVE-2025-55142

https://www.cve.org/CVERecord?id=CVE-2025-55142

Référence CVE CVE-2025-55143

https://www.cve.org/CVERecord?id=CVE-2025-55143

Référence CVE CVE-2025-55144

https://www.cve.org/CVERecord?id=CVE-2025-55144

Référence CVE CVE-2025-55145

https://www.cve.org/CVERecord?id=CVE-2025-55145

Référence CVE CVE-2025-55146

https://www.cve.org/CVERecord?id=CVE-2025-55146

Référence CVE CVE-2025-55147

https://www.cve.org/CVERecord?id=CVE-2025-55147

Référence CVE CVE-2025-55148

https://www.cve.org/CVERecord?id=CVE-2025-55148

Référence CVE CVE-2025-8711

https://www.cve.org/CVERecord?id=CVE-2025-8711

Référence CVE CVE-2025-8712

https://www.cve.org/CVERecord?id=CVE-2025-8712

Référence CVE CVE-2025-9712

https://www.cve.org/CVERecord?id=CVE-2025-9712

Référence CVE CVE-2025-9872

https://www.cve.org/CVERecord?id=CVE-2025-9872

Référence	CERTFR-2025-AVI-0768
Titre	Multiples vulnérabilités dans les produits Ivanti
Date de la première version	10 septembre 2025
Date de la dernière version	10 septembre 2025
Source(s)	Bulletin de sécurité Ivanti Security-Advisory-September-2025-for-Ivanti-EPM-2024-SU3-and-EPM-2022-SU8 du 09 septembre 2025 Bulletin de sécurité Ivanti september-2025-security-update du 09 septembre 2025 Bulletin de sécurité Ivanti September-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-and-Neurons-for-Secure-Access-Multiple-CVEs du 09 septembre 2025

Avis du CERT-FR

Objet: Multiples vulnérabilités dans les produits Ivanti

Gestion du document

Risques

Systèmes affectés

Résumé

Solutions

Documentation

Gestion détaillée du document