Ivantiは同社のConnect Secure、Policy Secure、Secure Access Client製品に影響を及ぼす複数の脆弱性を公表しました。
中でも、CVE-2025-22467(CVSS 9.9)は、リモートコード実行が可能となる極めて危険な脆弱性であり、すべての利用者に対し、直ちにセキュリティアップデートを適用するよう呼びかけています。
脆弱性の修正バージョン
以下バージョンで脆弱性は修正済みです。
- Ivanti Connect Secure 22.7R2.6
- Ivanti Policy Secure 22.7R1.3
- Ivanti Secure Access Client 22.8R1
Ivantiの複数の脆弱性の概要
Ivantiが公表した一連の脆弱性のうち、最も深刻なものはCVE-2025-22467で、スタックベースのバッファオーバーフローを悪用することで、リモートの認証済み攻撃者が任意のコードを実行できる危険性があります。
この脆弱性が悪用されると、攻撃者はシステムの完全な制御を奪うことが可能になり、機密情報の漏えいやサービスの乗っ取り、さらには横移動によるネットワーク全体への影響が懸念されます。
今回公表された脆弱性には、RCE(リモートコード実行)や認証バイパス、データ漏えいのリスクがあるものが含まれています。
脆弱性の一覧
| CVE番号 | CVSSスコア | 影響範囲 | 概要 |
| CVE-2025-22467 | 9.9(Critical) | Ivanti Connect Secure |
スタックベースのバッファオーバーフローによりリモートコード実行が可能。
|
| CVE-2024-38657 | 9.1(Critical) | Ivanti Connect Secure |
管理者権限を持つ攻撃者が任意のファイルを作成可能。システムの完全乗っ取りの恐れ。
|
| CVE-2024-10644 | 9.1(Critical) | Ivanti Connect Secure |
コードインジェクションの脆弱性。リモートで任意のスクリプトを実行可能。
|
| CVE-2024-12058 | 8.6(High) | Ivanti Connect Secure |
攻撃者が任意のファイルを読み取ることができる。機密情報漏えいの可能性。
|
| CVE-2024-13830 | 7.5(High) | Ivanti Connect Secure |
リフレクト型XSS(クロスサイトスクリプティング)攻撃が可能。
|
| CVE-2024-13842 | 6.9(Medium) | Ivanti Connect Secure |
ハードコードされたキーを利用した脆弱性。暗号化データの復号リスク。
|
| CVE-2024-13843 | 6.5(Medium) | Ivanti Connect Secure |
平文での機密情報の保存が発見される。データ漏えいの恐れ。
|
関連記事
Ivanti VPN の脆弱性がゼロデイ攻撃の標的に(CVE-2025-0282とCVE-2025-0283)
Ivantiの脆弱性を通じてMITRE(マイター)へゼロデイ攻撃が発生
トロイの木馬化された「jQuery」がnpmやGitHubで拡散
Ivantiの複数製品で危険度の高い脆弱性が発生(CVE-2023-46805、CVE-2024-21887)
東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性
英国のドメインレジストリNominetへIvantiのゼロデイ攻撃を確認
北朝鮮のIT労働者が日本企業で偽装就労か 実態とセキュリティリスクを解説
TikTok(ティックトック)がアカウント 乗っ取りに悪用された脆弱性を修正
SonicWallの重大な脆弱性(CVE-2024-40766)を ランサムウェア 攻撃グループAkiraが悪用