Ivantiは2025年9月9日、Ivanti Endpoint Manager(EPM)に関する高深刻度の脆弱性(CVE-2025-9712/CVE-2025-9872)と、Connect Secure/Policy Secure/ZTA Gateways/Neurons for Secure Access(nSA)にまたがる複数の脆弱性の修正パッチを提供しました。
現時点で“悪用の確認なし”としつつ、エンタープライズ環境の根幹に関わる製品群のため、早期のアップデートが強く推奨されています。
EPM(Endpoint Manager):2件のRCE相当バグと対応
EPMで報告された2件(CVE-2025-9712/CVE-2025-9872)は、いずれもファイル名検証不備(CWE-434)が原因で、未認証かつユーザーの軽微な操作(UI:R)をきっかけにリモートコード実行(RCE)に至り得る問題です。
影響バージョンはEPM 2024 SU3 以前およびEPM 2022 SU8 Security Update 1 以前。対処としてEPM 2024 SU3 SR1またはEPM 2022 SU8 SR2への更新が必要です。
あわせて、EPM 2022系は2025年10月末にEOL予定である旨がアドバイザリで案内されており、当該系統をご利用中の環境は“パッチ適用”にとどまらず、計画的な移行が推奨されます。
セキュアアクセス製品群:11件規模の修正
同日に、Ivanti Connect Secure(ICS)/Policy Secure(PS)/ZTA Gateways/nSA向けにも高×5件+中×6件の脆弱性修正が告知されています。
欠落した認可チェック、CSRF、SSRF、DoS などが含まれ、構成変更の不正や接続ハイジャックにつながるものもあるため、運用面のガードレール(管理ポータルの外部公開回避、到達制御)と併せての是正が望まれます。
影響バージョンの目安は以下の通りで、最新版への更新が推奨されています。ICS 22.7R2.8 以前/PS 22.7R1.4 以前/ZTA 22.8R2.2/nSA 22.8R1.3 以前(クラウドの nSA は8月2日に自動更新済み)。個別CVEの一例としてCVE-2025-8712(認可欠如)はICS 22.7R2.9 未満 等が対象です。







に認証バイパス脆弱性CVE-2025-22462-早急なパッチ適用を推奨-200x200.png)
