【漏洞預警】Ivanti 旗下Connect Secure、Policy Secure、ZTA Gateways和 Neurons for Secure Access存在多個重大資安漏洞

2025 年 9 月 12 日 cc

教育機構ANA通報平台

發佈編號 TACERT-ANA-2025091208091515 發佈時間 2025-09-12 08:41:15
事故類型 ANA-漏洞預警 發現時間 2025-09-12 08:41:15
影響等級
[主旨說明:]【漏洞預警】Ivanti 旗下Connect Secure、Policy Secure、ZTA Gateways和 Neurons for Secure Access存在多個重大資安漏洞
[內容說明:]

轉發 台灣電腦網路危機處理暨協調中心 TWCERTCC-200-202509-00000007

【CVE-2025-55141,CVSS:8.8】 此漏洞在受影響設備中缺乏授權機制,允許經過身分驗證且具有唯讀管理者權限的攻擊者修改與身分驗證相關的設定。

【CVE-2025-55142,CVSS:8.8】 此漏洞在受影響設備中缺乏授權機制,允許經過身分驗證且具有唯讀管理者權限的攻擊者修改與身分驗證相關的設定。

【CVE-2025-55145,CVSS:8.9】 此漏洞在受影響設備中缺乏授權機制,允許經過身分驗證的遠端攻擊者,劫持現有的HTML5連線。

【CVE-2025-55147,CVSS:8.8】 此漏洞在受影響設備中存在CSRF漏洞,允許經過身分驗證的遠端攻擊者,以受害者用戶的身分執行敏感性操作。

情資分享等級: WHITE(情資內容為可公開揭露之資訊)

煩請貴單位協助轉發與通知轄下各單位知悉
[影響平台:]

● Ivanti Connect Secure 22.7R2.8 (含)之前版本
● Ivanti Policy Secure 22.7R1.5 (含)之前版本
● Ivanti ZTA Gateway 2.8R2.2 (含)之前版本
● Ivanti Neurons for Secure Accessway 22.8R1.3 (含)之前版本
[建議措施:]

請更新至以下版本

● Ivanti Connect Secure 22.7R2.9
● Ivanti Connect Secure 22.8R2
● Ivanti Policy Secure 22.7R1.6
● Ivanti ZTA Gateway 2.8R2.3-723
● Ivanti Neurons for Secure Accessway 22.8R1.4
[參考資料:]
1. September Security Advisory Ivanti Connect Secure, Policy Secure, ZTA Gateways and Neurons for Secure Access (Multiple CVEs): https://forums.ivanti.com/s/article/September-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-and-Neurons-for-Secure-Access-Multiple-CVEs

2. CVE-2025-55141: https://nvd.nist.gov/vuln/detail/CVE-2025-55141

3. CVE-2025-55142: https://nvd.nist.gov/vuln/detail/CVE-2025-55142

4. CVE-2025-55145: https://nvd.nist.gov/vuln/detail/CVE-2025-55145

5. CVE-2025-55147 https://nvd.nist.gov/vuln/detail/CVE-2025-55147