A Ivanti lançou atualizações de segurança críticas que abordam várias vulnerabilidades em seus produtos Connect Secure, Policy Secure e ZTA Gateway que podem permitir que invasores remotos lancem ataques de negação de serviço.
A empresa Divulgados quatro vulnerabilidades em 12 de agosto de 2025, com pontuações CVSS variando de gravidade média a alta, embora nenhuma exploração ativa tenha sido detectada no momento da divulgação.
O comunicado de segurança revela quatro vulnerabilidades distintas que afetam os produtos de infraestrutura de segurança corporativa da Ivanti.
O CVE-2025-5456, com pontuação de 7,5 na escala CVSS, representa uma vulnerabilidade de leitura excessiva de buffer que permite que invasores remotos não autenticados acionem condições de negação de serviço em várias linhas de produtos.
Essa falha crítica afeta as versões do Ivanti Connect Secure anteriores à 22.7R2.8 ou 22.8R2, o Policy Secure anterior à 22.7R1.5, o ZTA Gateway anterior à 2.8R2.3-723 e o Neurons for Secure Access anterior à 22.8R1.4.
Igualmente grave éCVE-2025-5462, também com pontuação de 7,5, que envolve uma vulnerabilidade de estouro de buffer baseada em heap.
Essa falha permite que invasores remotos não autenticados causem ataques de negação de serviço contra as mesmas versões do produto, apresentando riscos significativos para as organizações Segurança de rede infra-estrutura.
| Número CVE | Descrição | Pontuação CVSS | CWE |
| CVE-2025-5456 | Vulnerabilidade de leitura excessiva de buffer permitindo DoS remoto | 7.5 (Alto) | CWE-125 |
| CVE-2025-5462 | Estouro de buffer baseado em heap que permite DoS remoto | 7.5 (Alto) | CWE-122, CWE-476 |
| CVE-2025-5466 | Vulnerabilidade de Entidade Externa XML (XXE) | 4.9 (Médio) | CWE-776 |
| CVE-2025-5468 | Tratamento inadequado de links simbólicos | 5.5 (Médio) | CWE-61 |
Duas vulnerabilidades de gravidade média completam o aviso. CVE-2025-5466envolve uma vulnerabilidade de Entidade Externa XML (XXE) com uma pontuação CVSS de 4,9, exigindo privilégios administrativos para exploração, mas ainda capaz de causar ataques de negação de serviço.
CVE-2025-5468, com pontuação de 5,5, aborda o manuseio inadequado de links simbólicos que podem permitir que invasores autenticados locais leiam arquivos arbitrários no disco, potencialmente expondo informações confidenciais do sistema.
A Ivanti lançou patches para todos os produtos afetados, com algumas correções já implantadas em ambientes de nuvem a partir de 2 de agosto de 2025.
As organizações que usam o Connect Secure devem atualizar para a versão 22.7R2.8 ou 22.8R2, enquanto os usuários do Policy Secure precisam da versão 22.7R1.5.
Os clientes do ZTA Gateway devem instalar a versão 22.8R2.3-723, disponível através da interface do controlador.
A empresa enfatiza quenenhuma exploração ativa foi detectada, pois essas vulnerabilidades foram descobertas por meio de avaliações internas de segurança e programas de divulgação responsável.
No entanto, a gravidade de possíveis ataques de negação de serviço torna a aplicação imediata de patches essencial para manter a postura de segurança da rede organizacional.
Ache esta notícia interessante! Siga-nos noGoogle Notícias,LinkedIneXpara obter atualizações instantâneas!