Csrf

A Ivanti divulgou um aviso de segurança em setembro de 2025, alertando sobre onze vulnerabilidades em seu portfólio de Acesso Seguro, que inclui o Connect Secure, Policy Secure e ZTA Gateways. Dentre as falhas, seis são de severidade média e cinco de alta severidade, com destaque para problemas de bypass de autorização e CSRF (Cross-Site Request Forgery). Essas vulnerabilidades permitem que usuários autenticados com privilégios limitados modifiquem configurações restritas, possibilitando a escalada de privilégios. Além disso, atacantes não autenticados podem induzir vítimas a executar ações sensíveis com mínima interação. A Ivanti recomenda que os administradores apliquem patches ou mitigações imediatamente para proteger a infraestrutura de acesso remoto. As falhas incluem também problemas de negação de serviço e injeção de texto refletido, que, embora classificadas como de severidade média, podem facilitar ataques mais amplos. A empresa aconselha que portais administrativos não sejam acessíveis publicamente para reduzir a exposição a riscos. Os patches estão disponíveis para as versões afetadas, e a Ivanti agradece ao pesquisador de segurança Nikolay Semov pela colaboração na identificação de uma das falhas.