Ivanti、Endpoint Managerの脆弱性を含む複数の脆弱性を修正(CVE-2025-9712,CVE-2025-9872)

セキュリティニュース

投稿日時: 更新日時:

Ivanti、Endpoint Managerの脆弱性を含む複数の脆弱性を修正(CVE-2025-9712,CVE-2025-9872)

Ivantiは2025年9月9日、Ivanti Endpoint Manager(EPM)に関する高深刻度の脆弱性CVE-2025-9712/CVE-2025-9872)と、Connect Secure/Policy Secure/ZTA Gateways/Neurons for Secure Access(nSA)にまたがる複数の脆弱性の修正パッチを提供しました。

現時点で“悪用の確認なし”としつつ、エンタープライズ環境の根幹に関わる製品群のため、早期のアップデートが強く推奨されています。

EPM(Endpoint Manager):2件のRCE相当バグと対応

EPMで報告された2件(CVE-2025-9712/CVE-2025-9872)は、いずれもファイル名検証不備(CWE-434)が原因で、未認証かつユーザーの軽微な操作(UI:R)をきっかけにリモートコード実行(RCE)に至り得る問題です。

影響バージョンはEPM 2024 SU3 以前およびEPM 2022 SU8 Security Update 1 以前。対処としてEPM 2024 SU3 SR1またはEPM 2022 SU8 SR2への更新が必要です。

あわせて、EPM 2022系は2025年10月末にEOL予定である旨がアドバイザリで案内されており、当該系統をご利用中の環境は“パッチ適用”にとどまらず、計画的な移行が推奨されます。

セキュアアクセス製品群:11件規模の修正

同日に、Ivanti Connect Secure(ICS)/Policy Secure(PS)/ZTA Gateways/nSA向けにも高×5件+中×6件の脆弱性修正が告知されています。

欠落した認可チェック、CSRF、SSRF、DoS などが含まれ、構成変更の不正や接続ハイジャックにつながるものもあるため、運用面のガードレール(管理ポータルの外部公開回避、到達制御)と併せての是正が望まれます。

影響バージョンの目安は以下の通りで、最新版への更新が推奨されています。ICS 22.7R2.8 以前/PS 22.7R1.4 以前/ZTA 22.8R2.2/nSA 22.8R1.3 以前(クラウドの nSA は8月2日に自動更新済み)。個別CVEの一例としてCVE-2025-8712(認可欠如)はICS 22.7R2.9 未満 等が対象です。