Selon un article publié le 15 mai 2025, Ivanti a annoncé la publication de mises à jour de sécurité pour son logiciel Neurons for ITSM afin de corriger une vulnérabilité critique d’authentification (CVE-2025-22462) qui permettrait à des attaquants non authentifiés d’obtenir un accès administratif aux systèmes non corrigés.
Cette faille, qui affecte uniquement les instances sur site des versions 2023.4, 2024.2, et 2024.3, peut être exploitée dans des attaques de faible complexité, selon la configuration du système. Ivanti a souligné que les organisations suivant ses recommandations de sécurité, telles que la restriction d’accès à un nombre limité d’adresses IP et de noms de domaine, sont moins exposées.
Ivanti a également conseillé aux clients dont les utilisateurs se connectent depuis l’extérieur de leur réseau d’entreprise de s’assurer que la solution est configurée avec une DMZ pour réduire les risques. Aucune preuve d’exploitation active de cette vulnérabilité n’a été trouvée à ce jour.
En parallèle, Ivanti a également publié un correctif pour une autre vulnérabilité (CVE-2025-22460) dans son Cloud Services Appliance (CSA), qui pourrait permettre à des attaquants authentifiés localement d’escalader leurs privilèges. Ivanti a averti que ce correctif nécessite une réinstallation ou des étapes de mitigation pour être appliqué correctement. Cet article est principalement un patch de sécurité visant à informer les utilisateurs des correctifs disponibles et des mesures de sécurité à prendre.
Illustration d’un écran d’ordinateur avec un cadenas symbolisant la sécurité informatique
🔗 Source originale : https://www.bleepingcomputer.com/news/security/ivanti-warns-of-critical-neurons-for-itsm-auth-bypass-flaw/