Ivanti patcht kritische Lücke CVE-2025-22462 in Ivanti Neurons for ITSM
Ivanti hat am 13. Mai 2025 ein kritisches Sicherheitsupdate für „Ivanti Neurons for ITSM (On-Premises Only)“ veröffentlicht. Die Lücke CVE-2025-22462 (CWE-288) erlaubt einem nicht authentifizierten Angreifer, bei fehlerhafter Konfiguration Administratorrechte zu erlangen (CVSS 9.8 – kritisch; Environmental Score 6.9 – mittel). Betroffen sind die Versionen 2023.4, 2024.2 und 2024.3; je ein „May 2025 Security Patch“ steht über das Ivanti-Downloadportal bereit. Ivanti empfiehlt, den Patch umgehend einzuspielen und den Zugriff auf die IIS-Instanz netzwerkseitig (IP-Whitelist, DMZ) einzuschränken, um das Risiko weiter zu minimieren. Bislang sind keine Ausnutzungen in Kundenumgebungen bekannt.