Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Ivanti Connect Secure (ICS) versions antérieures à 22.7R2.6 (correctif publié le 11 février 2025)
  • Ivanti Policy Secure (IPS) versions antérieures à 22.7R1.4
  • Pulse Connect Secure versions antérieures à 22.7R2.6
  • Zero Trust Access Gateways versions antérieures à 22.8R2.2

L'éditeur indique que les correctifs seront disponibles le 19 avril 2025 pour Zero Trust Access Gateways et le 21 avril 2025 pour Ivanti Policy Secure. L'éditeur indique que les Pulse Connect Secure en versions 9.1x sont en fin de vie depuis le 31 décembre 2024. Les utilisateurs peuvent contacter Ivanti pour migrer vers une version à jour.

Résumé

Une vulnérabilité a été découverte dans les produits Ivanti. Elle permet à un attaquant de provoquer une une exécution de code arbitraire à distance.

Ivanti indique que la vulnérabilité CVE-2025-22457 est activement exploitée.

Solutions

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation