Woensdag 15 Januari 2025
Samenvatting
Ivanti heeft op 8 Januari 2025 een beveiligingsadvies uitgebracht over twee nieuwe kwetsbaarheden in Ivanti Connect Secure VPN appliances, Policy Secure, en ZTA Gateways.
- CVE-2025-0282 (CVSS: 9.0 [Kritiek]) kan leiden tot niet-geverifieerde remote code execution. Deze CVE is een stack-based buffer overflow kwetsbaarheid.
- CVE-2025-0283 (CVSS: 7.0 [Hoog]) kan leiden tot privilege-escalatie van een lokale geauthenticeerde aanvaller.
Mandiant identificeerde zero-day-exploitatie van CVE-2025-0282 in het wild vanaf medio december 2024, dus patches voor deze kwetsbaarheid moeten prioriteit krijgen.
Betrokken producten
CVE |
Productnaam |
Betrokken versie(s) |
Betrokken CPE(s) |
Opgeloste versie(s) |
Patchbeschikbaarheid |
CVE-2025-0282 |
Ivanti Connect Secure |
22.7R2 tot en met 22.7R2.4 |
cpe:2.3:a:ivanti:connect_secure:22.7:R2.4:*:*:*:*.*.* |
22.7R2.5 |
Download Portal https://portal.ivanti.com/ |
CVE-2025-0283 |
Ivanti Connect Secure |
22.7R2.4 en eerder, 9.1R18.9 en eerder |
cpe:2.3:a:ivanti:connect_secure:22.7:R2.4:*:*:*:*.*.* |
22.7R2.5 |
Download Portal https://portal.ivanti.com/ |
CVE-2025-0282 |
Ivanti Policy Secure |
22.7R1 tot en met 22.7R1.2 |
cpe:2.3:a:ivanti:policy_secure:22.7:r1.2:*:*:*:*.*. |
|
Patch gepland beschikbaar op 21 Januari |
CVE-2025-0283 |
Ivanti Policy Secure |
22.7R1.2 en eerder |
cpe:2.3:a:ivanti:policy_secure:22.7:r1.2:*:*:*:*.*. |
|
Patch gepland beschikbaar op 21 Januari |
CVE-2025-0282 |
Ivanti Neurons for ZTA Gateways |
22.7R2 tot en met 22.7R2.3 |
N/A |
22.7R2.5 |
Patch gepland beschikbaar op 21 Januari |
CVE-2025-0283 |
Ivanti Neurons for ZTA Gateways |
22.7R2.3 en eerder |
N/A |
22.7R2.5 |
Patch gepland beschikbaar op 21 Januari |