一、漏洞簡述
以下是 Ivanti 產品被發現的重大安全漏洞,請所有使用相關產品或負責維運的同仁務必注意:
CVE-2025-55141|CVSS:8.8
此漏洞在受影響設備中缺乏授權機制,允許經過身分驗證且具有唯讀管理者權限的攻擊者修改與身分驗證相關的設定。
CVE-2025-55142|CVSS:8.8
此漏洞在受影響設備中缺乏授權機制,允許經過身分驗證且具有唯讀管理者權限的攻擊者修改與身分驗證相關的設定。
CVE-2025-55145|CVSS:8.9
此漏洞在受影響設備中缺乏授權機制,允許經過身分驗證的遠端攻擊者,劫持現有的 HTML5 連線。
CVE-2025-55147|CVSS:8.8
此漏洞在受影響設備中存在 CSRF 漏洞,允許經過身分驗證的遠端攻擊者,以受害者用戶的身分執行敏感性操作。
二、設備/版本影響
Ivanti Connect Secure 22.7R2.8(含)之前版本
Ivanti Policy Secure 22.7R1.5(含)之前版本
Ivanti ZTA Gateway 2.8R2.2(含)之前版本
Ivanti Neurons for Secure Accessway 22.8R1.3(含)之前版本
三、建議處置
請更新至以下版本:
Ivanti Connect Secure 22.7R2.9
Ivanti Connect Secure 22.8R2
Ivanti Policy Secure 22.7R1.6
Ivanti ZTA Gateway 2.8R2.3-723
Ivanti Neurons for Secure Accessway 22.8R1.4