TACERT台灣學術網路危機處理中心

※安全通報資訊

安全通報類型	其它安全通報
發佈日期	2025-09-12
標題	【漏洞預警】Ivanti 旗下Connect Secure、Policy Secure、ZTA Gateways和 Neurons for Secure Access存在多個重大資安漏洞
CVE	CVE-2025-55141；CVE-2025-55142；CVE-2025-55145；CVE-2025-55147
BID
影響平台	● Ivanti Connect Secure 22.7R2.8 (含)之前版本 ● Ivanti Policy Secure 22.7R1.5 (含)之前版本 ● Ivanti ZTA Gateway 2.8R2.2 (含)之前版本 ● Ivanti Neurons for Secure Accessway 22.8R1.3 (含)之前版本
說明	發佈編號：TACERT-ANA-2025091208091515 (轉發台灣電腦網路危機處理暨協調中心 TWCERTCC-200-202509-00000007) 【CVE-2025-55141，CVSS：8.8】此漏洞在受影響設備中缺乏授權機制，允許經過身分驗證且具有唯讀管理者權限的攻擊者修改與身分驗證相關的設定。【CVE-2025-55142，CVSS：8.8】此漏洞在受影響設備中缺乏授權機制，允許經過身分驗證且具有唯讀管理者權限的攻擊者修改與身分驗證相關的設定。【CVE-2025-55145，CVSS：8.9】此漏洞在受影響設備中缺乏授權機制，允許經過身分驗證的遠端攻擊者，劫持現有的HTML5連線。【CVE-2025-55147，CVSS：8.8】此漏洞在受影響設備中存在CSRF漏洞，允許經過身分驗證的遠端攻擊者，以受害者用戶的身分執行敏感性操作。情資分享等級: WHITE(情資內容為可公開揭露之資訊)
解決方式	[建議措施:] 請更新至以下版本： ● Ivanti Connect Secure 22.7R2.9 ● Ivanti Connect Secure 22.8R2 ● Ivanti Policy Secure 22.7R1.6 ● Ivanti ZTA Gateway 2.8R2.3-723 ● Ivanti Neurons for Secure Accessway 22.8R1.4 [參考資料:] 1. September Security Advisory Ivanti Connect Secure, Policy Secure, ZTA Gateways and Neurons for Secure Access (Multiple CVEs)： https://forums.ivanti.com/s/article/September-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-and-Neurons-for-Secure-Access-Multiple-CVEs 2. CVE-2025-55141： https://nvd.nist.gov/vuln/detail/CVE-2025-55141 3. CVE-2025-55142： https://nvd.nist.gov/vuln/detail/CVE-2025-55142 4. CVE-2025-55145： https://nvd.nist.gov/vuln/detail/CVE-2025-55145 5. CVE-2025-55147 https://nvd.nist.gov/vuln/detail/CVE-2025-55147
相關資訊連結
相關修正資訊連結