[TLP:CLEAR] Ivanti opravuje kritickou a aktivně zneužívanou zranitelnost
Ivanti opravuje kritickou a již aktivně zneužívanou zranitelnost ve svých produktech [1]. Produkty a jejich opravy: Ivanti Connect Secure - 22.7R2.6 Pulse Connect Secure (EoS) - 22.7R2.6 Ivanti Policy Secure - 22.7R1.4 (21. dubna) ZTA Gateways - 22.8R2.2 (19. dubna)
Neautentizovanému vzdálenému útočníkovi je umožněno zneužít přetečení zásobníkového bufferu a vykonat libovolný kód [1].
Zranitelnost se nachází v produktech:
- Ivanti Connect Secure ve verzích <=22.7R2.5
- Pulse Connect Secure ve verzích <=9.1R18.9
- Ivanti Policy Secure ve verzích <=22.7R1.3
- ZTA Gateways ve verzích <=22.8R2
CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H
Více informací:
- CVE-2025-22457 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-121: Stack-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 3. 4. 2025.
Za CESNET-CERTS Michaela Jarošová dne 4. 4. 2025.
