Ivanti 为其本地 Neurons for ITSM 平台发布了一个关键安全补丁,解决了一个严重漏洞 CVE-2025-22462,该漏洞可能允许未经身份验证的攻击者获得管理访问权限。该漏洞的 CVSS 基本分数为 9.8,对未实施建议的网络限制或安全配置的客户构成严重风险。
“根据系统配置,成功利用此漏洞可能允许未经身份验证的远程攻击者获得对系统的管理访问权限,”Ivanti 在公告中警告说。
该漏洞存在于身份验证绕过缺陷中,该缺陷会影响 Ivanti Neurons for ITSM 本地部署。此问题会影响 2025 年 5 月版本 2023.4、2024.2 和 2024.3 安全补丁之前的所有实例。
“身份验证绕过…允许未经身份验证的远程攻击者获得对系统的管理访问权限,“公告指出。
虽然在披露时未观察到漏洞利用,但风险级别在很大程度上取决于系统配置。Ivanti 为满足以下条件的客户引入了 6.9 分(中等)的环境评分:
- 限制 IIS 对内部网络和特定 IP 的访问
- 将解决方案放置在 DMZ 中
- 仅限高权限内部用户登录
“遵循 Ivanti 关于保护 IIS 网站和限制访问的指南的客户…降低了对环境的风险,“Ivanti 解释道。
以下版本受到影响:
- Ivanti Neurons for ITSM(仅限本地):版本 2023.4、2024.2 和 2024.3(2025 年 5 月补丁之前)
可用的修补版本:
- 2023.4 2025 年 5 月安全补丁
- 2024.2 2025 年 5 月安全补丁
- 2024.3 2025 年 5 月安全补丁
修补程序下载和文档可通过 Ivanti 的许可证系统获得。
如果无法立即进行修补,Ivanti 建议:
- 使用 ACL 限制 IIS 访问以仅允许受信任的 IP
- 确保通过 DMZ 路由外部登录访问
- 遵循 Ivanti 部署和 IIS 强化文档中的安全部署指南
发表评论
您还未登录,请先登录。
登录