Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-00224

Опубликовано: 08 янв. 2025
Источник: fstec
CVSS3: 7
CVSS2: 6
EPSS Средний

Описание

Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure), Ivanti Policy Secure и средства управления IT-сервисами Ivanti Neurons for ZTA связана с переполнением буфера в стеке. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии

Вендор

Ivanti

Наименование ПО

Connect Secure
Policy Secure
Ivanti Neurons for Zero Trust Access (nZTA)

Версия ПО

до 9.1R18.9 включительно (Connect Secure)
до 22.7R2.4 включительно (Connect Secure)
до 22.7R1.2 включительно (Policy Secure)
до 22.7R2.3 включительно (Ivanti Neurons for Zero Trust Access (nZTA))

Тип ПО

Сетевое средство
Программное средство защиты
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания попыток эксплуатации уязвимости;
- использование инструмента Integrity Checker Tool (ICT) для выявления средств эксплуатации уязвимости;
- использование SIEM-систем для выявления попыток эксплуатации уязвимости;
- ограничение доступа к уязвимому программному обеспечению из внешних сетей (Интернет).
Использование рекомендаций производителя:
https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-0282-CVE-2025-0283?language=en_US

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 96%
0.2299
Средний

7 High

CVSS3

6 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-0283

CVSS3: 7
nvd
около 1 года назад

A stack-based buffer overflow in Ivanti Connect Secure before version 22.7R2.5, Ivanti Policy Secure before version 22.7R1.2, and Ivanti Neurons for ZTA gateways before version 22.7R2.3 allows a local authenticated attacker to escalate their privileges.

github логотип

GHSA-j5g5-c424-7xqg

CVSS3: 7
github
около 1 года назад

A stack-based buffer overflow in Ivanti Connect Secure before version 22.7R2.5, Ivanti Policy Secure before version 22.7R1.2, and Ivanti Neurons for ZTA gateways before version 22.7R2.3 allows a local authenticated attacker to escalate their privileges.

fstec логотип

BDU:2025-00108

CVSS3: 9
fstec
около 1 года назад

Уязвимость средств контроля сетевого доступа Ivanti Connect Secure (ранее Pulse Connect Secure), Ivanti Policy Secure и средства управления IT-сервисами Ivanti Neurons for ZTA, связанная с чтением данных за границами буфера в памяти, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 96%
0.2299
Средний

7 High

CVSS3

6 Medium

CVSS2