O provedor de software de TI Ivanti lançou na quarta-feira patches para seus serviços Connect Secure SSL VPN para solucionar duas falhas de corrupção de memória, uma das quais já foi explorada como um comprometimento de dispositivo de dia zero.
A vulnerabilidade explorada, rastreada como CVE-2025-0282, é um buffer overflow baseado em pilha classificado como crítico com uma pontuação CVSS de 9,0. A falha pode ser usada sem autenticação para obter execução remota de código e afetar Ivanti Connect Secure, Ivanti Policy Secure e Ivanti Neurons em gateways ZTA.
A segunda vulnerabilidade, CVE-2025-0283, também é um overflow baseado em pilha que afeta produtos semelhantes, mas requer autenticação para ser explorado e só pode levar a uma escalada de privilégios. É classificado como de alta gravidade com uma pontuação CVSS de 7,0.
