Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Ivanti Connect Secure (ICS) versions antérieures à 22.7R2.6 (correctif publié le 11 février 2025)
- Ivanti Policy Secure (IPS) versions antérieures à 22.7R1.4
- Pulse Connect Secure versions antérieures à 22.7R2.6
- Zero Trust Access Gateways versions antérieures à 22.8R2.2
L'éditeur indique que les correctifs seront disponibles le 19 avril 2025 pour Zero Trust Access Gateways et le 21 avril 2025 pour Ivanti Policy Secure. L'éditeur indique que les Pulse Connect Secure en versions 9.1x sont en fin de vie depuis le 31 décembre 2024. Les utilisateurs peuvent contacter Ivanti pour migrer vers une version à jour.
Résumé
Une vulnérabilité a été découverte dans les produits Ivanti. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Ivanti indique que la vulnérabilité CVE-2025-22457 est activement exploitée.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Ivanti April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457 du 03 avril 2025 https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457
- Avis CERT-FR CERTFR-2025-AVI-0121 du 12 février 2025 https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-0121/
- Bulletin de sécurité Ivanti du 11 février 2025 https://forums.ivanti.com/s/article/February-Security-Advisory-Ivanti-Connect-Secure-ICS-Ivanti-Policy-Secure-IPS-and-Ivanti-Secure-Access-Client-ISAC-Multiple-CVEs?language=en_US
- Référence CVE CVE-2025-22457 https://www.cve.org/CVERecord?id=CVE-2025-22457
