CRITICAL✓ PATCH🇬🇧 English

CVE-2025-22462

Authentication Bypass w Ivanti Neurons for ITSM — dostęp administracyjny bez uwierzytelnienia

CVSS 9.8v3.1pub. 2025-05-13upd. 2025-07-16

Krytyczna podatność typu authentication bypass w Ivanti Neurons for ITSM (wyłącznie wersje on-premises) umożliwia zdalnemu, nieuwierzytelnionemu atakującemu uzyskanie pełnego dostępu administracyjnego do systemu. Ze względu na brak wymagań co do uprawnień i interakcji użytkownika stanowi bezpośrednie, poważne zagrożenie dla każdej organizacji korzystającej z podatnych wersji.

Pokaż oryginał (EN)

An authentication bypass in Ivanti Neurons for ITSM (on-prem only) before 2023.4, 2024.2 and 2024.3 with the May 2025 Security Patch allows a remote unauthenticated attacker to gain administrative access to the system.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-288 (Authentication Bypass Using an Alternate Path or Channel) polega na możliwości ominięcia mechanizmów uwierzytelniania poprzez alternatywną ścieżkę dostępu lub kanał komunikacji niechroniony odpowiednią weryfikacją tożsamości. Atakujący może wysłać odpowiednio spreparowane żądanie sieciowe bez podawania jakichkolwiek poświadczeń i uzyskać dostęp z poziomem administratora. Atak jest możliwy całkowicie zdalnie, przez sieć, bez wcześniejszego dostępu do systemu ani udziału użytkownika.

Skutki

Atakujący uzyskuje pełny dostęp administracyjny do systemu Ivanti Neurons for ITSM, co może prowadzić do przejęcia kontroli nad platformą ITSM, ujawnienia lub modyfikacji wrażliwych danych (w tym danych ticketów, konfiguracji, danych użytkowników), a także do dalszego lateral movement w infrastrukturze organizacji.

Mitygacja

Należy jak najszybciej zastosować patch bezpieczeństwa z maja 2025 dla odpowiedniej gałęzi produktu: 2023.4, 2024.2 lub 2024.3. Szczegółowe instrukcje instalacji patcha dostępne są w oficjalnym komunikacie bezpieczeństwa Ivanti pod adresem: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Neurons-for-ITSM-on-premises-only-CVE-2025-22462. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu do interfejsu administracyjnego wyłącznie do zaufanych sieci lub VPN.

Kogo dotyczy

Ivanti Neurons for ITSM (wyłącznie wdrożenia on-premises) w wersjach wcześniejszych niż 2023.4, 2024.2 oraz 2024.3 bez zastosowanego patcha bezpieczeństwa z maja 2025. Wersje SaaS (chmurowe) nie są podatne.

Uwagi

Podatność dotyczy wyłącznie wdrożeń on-premises — wersje hostowane w chmurze przez Ivanti nie są narażone. Patch został wydany w ramach zbiorczej aktualizacji bezpieczeństwa Ivanti z maja 2025.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Ivanti Neurons For Itsm

    APP
    Ivanti
    2023.42024.22024.3< 2023.4
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2024-7569CRITICAL9.6PL ✓ten sam produkt

Ujawnienie OIDC client secret w Ivanti Neurons for ITSM przez debug info

CVE-2023-46808CRITICAL9.9PL ✓ten sam produkt

Ivanti Neurons for ITSM — podatność file upload umożliwiająca zapis plików na serwerze

CVE-2024-7570HIGH8.3ten sam produkt

Improper certificate validation in Ivanti ITSM on-prem and Neurons for ITSM Versions 2023.4 and earlier allows...

CVE-2024-22059HIGH8.8ten sam produkt

A SQL injection vulnerability in web component of Ivanti Neurons for ITSM allows a remote authenticated user t...

CVE-2024-22060MEDIUM4.9ten sam produkt

An unrestricted file upload vulnerability in web component of Ivanti Neurons for ITSM allows a remote, authent...