【漏洞預警】Ivanti 旗下Connect Secure、Policy Secure、ZTA Gateways和 Neurons for Secure Access存在多個重大資安漏洞

發佈日期 : 2025-09-16 最後更新日期 : 2025-09-17

教育機構ANA通報平台

發佈編號 TACERT-ANA-2025091208091515 發佈時間 2025/09/12 08:41
事故類型 ANA-漏洞預警 發現時間 2025/09/12 08:41
影響等級    
[主旨說明:]
【漏洞預警】Ivanti 旗下Connect Secure、Policy Secure、ZTA Gateways和 Neurons for Secure Access存在多個重大資安漏洞

[內容說明:]
轉發 台灣電腦網路危機處理暨協調中心 TWCERTCC-200-202509-00000007

【CVE-2025-55141,CVSS:8.8】 此漏洞在受影響設備中缺乏授權機制,允許經過身分驗證且具有唯讀管理者權限的攻擊者修改與身分驗證相關的設定。

【CVE-2025-55142,CVSS:8.8】 此漏洞在受影響設備中缺乏授權機制,允許經過身分驗證且具有唯讀管理者權限的攻擊者修改與身分驗證相關的設定。

【CVE-2025-55145,CVSS:8.9】 此漏洞在受影響設備中缺乏授權機制,允許經過身分驗證的遠端攻擊者,劫持現有的HTML5連線。

【CVE-2025-55147,CVSS:8.8】 此漏洞在受影響設備中存在CSRF漏洞,允許經過身分驗證的遠端攻擊者,以受害者用戶的身分執行敏感性操作。

情資分享等級: WHITE(情資內容為可公開揭露之資訊) 

[影響平台:]
●Ivanti Connect Secure 22.7R2.8 (含)之前版本

● Ivanti Policy Secure 22.7R1.5 (含)之前版本

● Ivanti ZTA Gateway 2.8R2.2 (含)之前版本

●Ivanti Neurons for Secure Accessway 22.8R1.3 (含)之前版本

[建議措施:]
●Ivanti Connect Secure 22.7R2.9

●Ivanti Connect Secure 22.8R2

●Ivanti Policy Secure 22.7R1.6

●Ivanti ZTA Gateway 2.8R2.3-723

●Ivanti Neurons for Secure Accessway 22.8R1.4

[參考資料:]
1. September Security Advisory Ivanti Connect Secure, Policy Secure, ZTA Gateways and Neurons for Secure Access (Multiple CVEs):

https://forums.ivanti.com/s/article/September-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-and-Neurons-for-Secure-Access-Multiple-CVEs

2. CVE-2025-55141: https://nvd.nist.gov/vuln/detail/CVE-2025-55141

3. CVE-2025-55142: https://nvd.nist.gov/vuln/detail/CVE-2025-55142

4. CVE-2025-55145: https://nvd.nist.gov/vuln/detail/CVE-2025-55145

5. CVE-2025-55147: https://nvd.nist.gov/vuln/detail/CVE-2025-55147
(此通報僅在於告知相關資訊,並非為資安事件)
如果您對此通報的內容有疑問或有關於此事件的建議,歡迎與我們連絡。
教育機構資安通報應變小組
網址:https://info.cert.tanet.edu.tw/
專線電話:07-5250211
網路電話:98400000
E-Mail:service@cert.tanet.edu.tw
承辦單位: 電算中心