关键漏洞信息 漏洞概述 CVE编号: CVE-2025-22462 产品: Ivanti Neurons for ITSM (On-Premises Only) 摘要: 该漏洞允许远程未认证攻击者在特定配置下获得系统管理权限。 漏洞详情 描述: 在Ivanti Neurons for ITSM(仅限本地部署)版本2023.4、2023.2和2023.3中存在身份验证绕过漏洞,允许远程未认证攻击者获得系统管理访问权限。 CVSS评分: - 基本评分: 9.8 (严重) - 环境评分: 6.9 (中等) CVSS向量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:A/H/R:L/O/M:PR:H CWE编号: CWE-288 影响版本 受影响版本: 2023.4, 2023.2, 2023.3 修复版本: - 2023.4 May 2025 Security Patch - 2023.2 May 2025 Security Patch - 2023.3 May 2025 Security Patch 补丁可用性: 可在ILS下载 解决方案 跟随下载文件中的说明文档应用补丁。 缓解措施或变通方法 遵循Ivanti关于保护IIS网站的指导,并限制对有限IP地址和域名的访问,可以降低风险。 如果用户从公司网络外部登录解决方案,并确保解决方案配置了DMZ,也可以降低风险。 FAQ 1. 是否有已知的活跃利用这些漏洞的情况? - 目前没有发现任何客户在公开披露前被这些漏洞利用。 2. 如何判断是否已被攻破? - 当前没有已知的公共利用此漏洞的方法,因此无法提供妥协指标列表。 3. 如果需要帮助怎么办? - 可以通过Success Portal提交案件或请求电话支持。