Ivanti opravuje 4 zranitelnosti ve svých produktech

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] Ivanti opravuje 4 zranitelnosti ve svých produktech

Ivanti opravuje 4 zranitelnosti v produktech Ivanti Neurons for ITSM, Ivanti Cloud Services Application a Ivanti Endpoint Manager Mobile [1][2][3].

Ivanti Neurons for ITSM - privilege escalation (CVE-2025-22462) CVSS 9.8 (Critical)

Neautentizovanému vzdálenému útočníkovi je v produktu Ivanti Neurons for ITSM (pouze on-premise) v závislosti na konfiguraci systému umožněno získat administrátorský přístup k systému [1].

Zranitelnost se nachází v produktu Ivanti Neurons for ITSM ve verzích (=2023.4) OR (=2024.2) OR (=2024.3).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

CVE-2025-22462 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-288: Authentication Bypass Using an Alternate Path or Channel at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 5. 2025.

Ivanti Cloud Services Application - privilege escalation (CVE-2025-22460) CVSS 7.8 (High)

Autentizovanému lokálnímu útočníkovi je v produktu Ivanti Cloud Services Application umožněno zvýšit svá oprávnění [2].

Zranitelnost se nachází v produktu Ivanti Cloud Services Application ve verzích <=5.0.4.

CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

CVE-2025-22460 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-1392: Use of Default Credentials at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 5. 2025.

Ivanti Endpoint Manager Mobile - authentication bypass (CVE-2025-4427) CVSS 5.3 (Medium)

Neautentizovanému vzdálenému útočníkovi je kvůli chybě obejití autentizace v produktu Ivanti Endpoint Manager Mobile umožněno přistupovat ke chráněným prostředkům bez odpovídajících přihlašovacích údajů [3].

Zranitelnost se nachází v produktu Ivanti Endpoint Manager Mobile ve verzích (<=11.12.0.4) OR (<=12.3.0.1) OR (<=12.4.0.1 AND <=12.5.0.0).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Více informací:

CVE-2025-4427 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-288: Authentication Bypass Using an Alternate Path or Channel at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 5. 2025.

Ivanti Endpoint Manager Mobile - arbitrary code execution (CVE-2025-4428) CVSS 7.2 (High)

Autentizovanému vzdálenému útočníkovi je v produktu Ivanti Endpoint Manager Mobile umožněno spustit libovolný kód [3].

Zranitelnost se nachází v produktu Ivanti Endpoint Manager Mobile ve verzích (<=11.12.0.4) OR (<=12.3.0.1) OR (<=12.4.0.1 AND <=12.5.0.0).

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Více informací:

CVE-2025-4428 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-94: Improper Control of Generation of Code ('Code Injection') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 13. 5. 2025.

Odkazy

Za CESNET-CERTS Michaela Jarošová dne 14. 5. 2025.

Zpětná vazba k reportu

[TLP:CLEAR] Ivanti opravuje 4 zranitelnosti ve svých produktech

Ivanti Neurons for ITSM - privilege escalation (CVE-2025-22462) CVSS 9.8 (Critical)

Ivanti Cloud Services Application - privilege escalation (CVE-2025-22460) CVSS 7.8 (High)

Ivanti Endpoint Manager Mobile - authentication bypass (CVE-2025-4427) CVSS 5.3 (Medium)

Ivanti Endpoint Manager Mobile - arbitrary code execution (CVE-2025-4428) CVSS 7.2 (High)

Odkazy