Ivanti, éditeur de solutions de VPN, a publié de nouveaux avertissements de sécurité pour les services Connect Secure, Policy Secure et ZTA Gateways. Deux CVE ont été annoncées :
- CVE-2025-0282 : buffer overflow sur les différents services
- CVE-2025-0283 : buffer overflow sur les différents services
La CVE-2025-0283 permet de compromettre la mémoire, de réaliser un accès à distance non autorisé et d’exécuter du code. La seconde CVE (CVE-2025-0282) permet une élévation des droits pour accéder à des données et à des fonctions internes des services.
L’éditeur annonce que ces failles ont été corrigées par des mises à jour. Attention, cependant : certains patchs ne seront déployés qu’à partir du 21 janvier.
Vous pouvez aussi consulter le bulletin d’alerte du CERT..fr