國家資通安全研究院
漏洞/資安訊息警訊
發布編號
NICS-ANA-2025-0000161
發布時間
Tue Apr 08 15:53:12 CST 2025
事件類型
漏洞預警
發現時間
Tue Apr 08 00:00:00 CST 2025

警訊名稱
Ivanti存在安全漏洞(CVE-2025-22457)，請儘速確認並進行修補

內容說明
研究人員發現Ivanti Connect Secure、Pulse Connect Secure、Policy Secure及ZTA Gateways存在堆疊緩衝區溢位(Stack-based Buffer Overflow)漏洞(CVE-2025-22457)，允許未經身分鑑別之遠端攻擊者利用此漏洞執行任意程式碼。該漏洞已遭駭客利用，請儘速確認並進行修補。

影響平台
Connect Secure 22.7R2.6(不含)以前版本
Pulse Connect Secure 9.1x (不再支援更新)
Policy Secure 22.7R1.4(不含)以前版本
ZTA Gateways 22.8R2.2(不含)以前版本

影響等級
高
建議措施
官方已針對漏洞釋出修復更新，請參考官方說明，網址如下：
https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457?language=en_US

參考資料
1. https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457?language=en_US
2. https://www.cisa.gov/news-events/alerts/2025/04/04/ivanti-releases-security-updates-connect-secure-policy-secure-zta-gateways-vulnerability-cve-2025
3. https://nvd.nist.gov/vuln/detail/CVE-2025-22457