Krytyczna podatność typu authentication bypass w Ivanti Neurons for ITSM (wyłącznie wersje on-premises) umożliwia zdalnemu, nieuwierzytelnionemu atakującemu uzyskanie pełnego dostępu administracyjnego do systemu. Ze względu na brak wymagań co do uprawnień i interakcji użytkownika stanowi bezpośrednie, poważne zagrożenie dla każdej organizacji korzystającej z podatnych wersji.
▸ Pokaż oryginał (EN)
An authentication bypass in Ivanti Neurons for ITSM (on-prem only) before 2023.4, 2024.2 and 2024.3 with the May 2025 Security Patch allows a remote unauthenticated attacker to gain administrative access to the system.
Podatność sklasyfikowana jako CWE-288 (Authentication Bypass Using an Alternate Path or Channel) polega na możliwości ominięcia mechanizmów uwierzytelniania poprzez alternatywną ścieżkę dostępu lub kanał komunikacji niechroniony odpowiednią weryfikacją tożsamości. Atakujący może wysłać odpowiednio spreparowane żądanie sieciowe bez podawania jakichkolwiek poświadczeń i uzyskać dostęp z poziomem administratora. Atak jest możliwy całkowicie zdalnie, przez sieć, bez wcześniejszego dostępu do systemu ani udziału użytkownika.
Atakujący uzyskuje pełny dostęp administracyjny do systemu Ivanti Neurons for ITSM, co może prowadzić do przejęcia kontroli nad platformą ITSM, ujawnienia lub modyfikacji wrażliwych danych (w tym danych ticketów, konfiguracji, danych użytkowników), a także do dalszego lateral movement w infrastrukturze organizacji.
Należy jak najszybciej zastosować patch bezpieczeństwa z maja 2025 dla odpowiedniej gałęzi produktu: 2023.4, 2024.2 lub 2024.3. Szczegółowe instrukcje instalacji patcha dostępne są w oficjalnym komunikacie bezpieczeństwa Ivanti pod adresem: https://forums.ivanti.com/s/article/Security-Advisory-Ivanti-Neurons-for-ITSM-on-premises-only-CVE-2025-22462. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu do interfejsu administracyjnego wyłącznie do zaufanych sieci lub VPN.
Ivanti Neurons for ITSM (wyłącznie wdrożenia on-premises) w wersjach wcześniejszych niż 2023.4, 2024.2 oraz 2024.3 bez zastosowanego patcha bezpieczeństwa z maja 2025. Wersje SaaS (chmurowe) nie są podatne.
Podatność dotyczy wyłącznie wdrożeń on-premises — wersje hostowane w chmurze przez Ivanti nie są narażone. Patch został wydany w ramach zbiorczej aktualizacji bezpieczeństwa Ivanti z maja 2025.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HIvanti Neurons For Itsm
APPIvanti2023.42024.22024.3< 2023.4
Powiązane podatności
Ujawnienie OIDC client secret w Ivanti Neurons for ITSM przez debug info
Ivanti Neurons for ITSM — podatność file upload umożliwiająca zapis plików na serwerze
Improper certificate validation in Ivanti ITSM on-prem and Neurons for ITSM Versions 2023.4 and earlier allows...
A SQL injection vulnerability in web component of Ivanti Neurons for ITSM allows a remote authenticated user t...
An unrestricted file upload vulnerability in web component of Ivanti Neurons for ITSM allows a remote, authent...