Ivanti（Ivanti）公司已披露了多个影响其 Connect Secure、Policy Secure 和 Secure Access Client 产品的漏洞，其中一些漏洞可导致远程代码执行和未经授权的数据访问。该公司敦促客户立即更新其系统，以降低潜在风险。

这些漏洞的严重程度从中等到严重不等，影响了受影响产品的多个版本。其中最严重的是 CVE-2025-22467（通用漏洞评分系统（CVSS）评分为 9.9），这是Ivanti Connect Secure 中一个严重的基于堆栈的缓冲区溢出漏洞。该漏洞允许远程已认证的攻击者在存在漏洞的系统上执行任意代码。另一个严重漏洞 CVE-2024-38657（CVSS 评分为 9.1），使拥有管理员权限的攻击者能够写入任意文件，这可能会危及系统的完整性。

其他漏洞包括代码注入缺陷（CVE-2024-10644，CVSS 评分为 9.1）、任意文件读取漏洞（CVE-2024-12058）、反射型跨站脚本攻击（XSS）漏洞（CVE-2024-13830），以及与硬编码密钥和以明文形式存储敏感信息相关的问题（CVE-2024-13842、CVE-2024-13843）。

Ivanti已在其产品的最新版本中修复了这些漏洞：

1.IvantiConnect Secure 22.7R2.6 版本

2.IvantiPolicy Secure 22.7R1.3 版本

3.IvantiSecure Access Client 22.8R1 版本

建议客户尽快更新到这些版本。该公司通过其下载门户（需要登录）提供对更新软件的访问。虽然Ivanti目前尚未发现这些漏洞被积极利用的情况，但潜在的影响凸显了应用可用更新的紧迫性。