Ivanti e Fortinet corrigem falhas com novas atualizações

A Ivanti e a Fortinet disponibilizaram novas atualizações de segurança para corrigir vulnerabilidades críticas e de alta gravidade nos seus produtos, incluindo falhas que podem ser exploradas para execução remota de código.

A Ivanti lançou patches para 11 vulnerabilidades nos produtos Connect Secure (ICS), Policy Secure (IPS), Secure Access Client (ISAC), Neurons for MDM (N-MDM) e Cloud Services Application (CSA). Entre os oito problemas resolvidos no ICS, IPS e ISAC, três são falhas críticas que possibilitam a um atacante remoto escrever ficheiros arbitrários e executar código, segundo a informação disponibilizada pela Ivanti. As vulnerabilidades, identificadas como CVE-2024-38657, CVE-2025-22467 e CVE-2024-10644 exigem autenticação para serem exploradas.

As correções foram incluídas nas versões ICS 22. versão 7R2.6, IPS versão 22.7R1.3 e ISAC versão 22.8R1, que também abordam uma vulnerabilidade de gravidade alta e quatro de gravidade média. Adicionalmente, a Ivanti disponibilizou a atualização N-MDM R110 para mitigar uma falha de gravidade média e lançou a versão 5.0.5 do CSA, que corrige uma injeção de sistema operativo de risco crítico (CVE-2024-47908, com pontuação CVSS de 9,1) e uma vulnerabilidade de gravidade média de passagem de diretórios (CVE-2024-11771, pontuação CVSS de 5,3).

A Fortinet publicou 14 avisos de segurança para falhas no FortiOS, FortiPortal, FortiAnalyzer, FortiManager e outros produtos. As vulnerabilidades mais graves incluem a CVE-2025-24470 (pontuação CVSS de 8,1), um bug no FortiPortal que permite a um atacante remoto não autenticado recuperar código-fonte, e a CVE-2024-40591 (pontuação CVSS de 8,0), uma falha de atribuição de privilégios no FortiOS que pode permitir que um administrador escale os seus privilégios para superadministrador.

A Fortinet também corrigiu uma vulnerabilidade grave de buffer overflow baseado na stack no controlo CAPWAP do FortiOS., que pode levar à execução de código arbitrário e que é rastreado como CVE-2024-35279. Além disso, atualizou um aviso publicado em janeiro sobre uma falha zero-day no FortiOS e FortiProxy, adicionando um novo CVE à lista (CVE-2025-24472, com pontuação CVSS de 8,1), que cobre um vetor de ataque adicional baseado em solicitações de proxy CSF criadas.

Os restantes avisos da Fortinet referem vulnerabilidades de média e baixa gravidade que podem resultar em execução de código, fuga de informações, desvio de autenticação, aumento de privilégios, recuperação de chaves privadas e senhas criptografadas, ataques de cross-site scripting (XSS), exclusão de ficheiros e descriptografia de segredos.

Tanto a Ivanti como a Fortinet afirmam não ter conhecimento de explorações ativas dessas falhas, mas recomendam que os clientes instalem as atualizações com urgência para mitigar potenciais riscos.