Haavoittuvuus6/2025CVSS 9.9CVE-2025-22467 (Ulkoinen linkki)
Ivanti on julkaisut tietoturvapäivitykset, joista Ivanti Connect Secure ja Ivanti Policy Secure haavoittuvuuksia hyväksikäyttämällä hyökkääjä voi suorittaa mielivaltaisia koodia komentoja haavoittuvalla laitteella.
Haavoittuvuuden kohde
Haavoittuvuus koskee Ivanti Connect Secure versiota 22.7R2.5 ja vanhempia versioita. Haavoittuvuus on korjattu versiossa 22.7R2.6.
Ivanti Policy Secure haavoittuvat versiot ovat 22.7R1.2 ja vanhemmat. Haavoittuvuudet on korjattu versiossa Ivanti Police Secure 22.7R1.3 versiossa.
Mistä on kysymys?
Ivanti on julkaissut tiedotteen, jossa ilmoitetaan haavoittuvuuksissa Ivanti Connect Secure ja Ivanti Policy Secure laitteista.
CVE-2025-22467: Ivanti Connect Securen kriittinen haavoittuvuus on pinopohjainen puskurin ylivuoto. Kriittinen haavoittuvuus mahdollistaa kirjautuneelle hyökkääjälle mielivaltaisen koodin suorittamisen haavoittuvassa laitteessa.
CVE-2024-38657: Ivanti Connect Secure ja Ivanti Policy Secure kriittinen haavoittuvuus mahdollistaa järjestelmänvalvojan oikeuksilla olevan hyökkääjän kirjoittaa mielivaltaisia tiedostoja, mikä saattaa vaarantaa järjestelmän eheyden.
CVE-2024-10644: Ivanti Connect Secure ja Ivanti Policy Secure haavoittuvuuden avulla etänätunnistautunut hyökkääjä, jolla on järjestelmävalvojan oikeudet, voi suorittaa mielivaltaisesti koodia etänä.
Mitä voin tehdä?
Päivitä haavoittuvalla ohjelmistoversiolla olevat laitteet viipymättä uusimpaan valmistajan tarjoamaan ohjelmistoversioon. Päivitys on saatavilla Ivanti-latausportaalin kautta.
Haavoittuvuuksien hyväksikäyttöä ei Ivantin mukaan ole vielä havaittu. Kyseisten tuotteiden haavoittuvuuksia kuitenkin yritetään jatkuvasti hyväksikäyttää, joten tästä syystä päivittäminen on tärkeää.