CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2026-10520

RCE poprzez OS Command Injection w Ivanti Sentry (nieuwierzytelniony dostęp root)

CVSS 10.0v3.1pub. 2026-06-09upd. 2026-06-12

Krytyczna podatność typu command injection w Ivanti Sentry umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnych poleceń systemowych z uprawnieniami root. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — brak wymagań dotyczących uwierzytelnienia i interakcji użytkownika czyni tę lukę wyjątkowo niebezpieczną.

Pokaż oryginał (EN)

An OS Command Injection vulnerability in Ivanti Sentry before the R10.5.2, R10.6.2 and R10.7.1 versions allows a remote unauthenticated user to achieve root-level remote code execution

🤖 Analiza AI
Jak działa

Podatność polega na nieprawidłowej sanitizacji danych wejściowych przekazywanych do wywołań systemowych (CWE-78 — OS Command Injection). Atakujący może spreparować odpowiednie żądanie sieciowe i wstrzyknąć złośliwe polecenia systemowe, które zostaną wykonane przez serwer bez konieczności posiadania jakichkolwiek poświadczeń. Zasięg ataku wykracza poza kontekst samej aplikacji (scope changed), co oznacza możliwość wpływu na inne komponenty systemu.

Skutki

Atakujący uzyskuje zdalne wykonanie kodu (RCE) z uprawnieniami root na podatnym urządzeniu, co oznacza pełne przejęcie kontroli nad systemem, dostęp do poufnych danych, możliwość modyfikacji konfiguracji oraz potencjalne wykorzystanie serwera jako punktu wyjścia do dalszych ataków w sieci wewnętrznej.

Mitygacja

Należy natychmiast zaktualizować Ivanti Sentry do wersji R10.5.2, R10.6.2 lub R10.7.1 (w zależności od używanej gałęzi). Szczegółowe instrukcje dostępne są w oficjalnym biuletynie bezpieczeństwa producenta pod adresem wskazanym w referencjach. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do interfejsów zarządzania Ivanti Sentry wyłącznie do zaufanych adresów IP.

Kogo dotyczy

Ivanti Sentry we wszystkich wersjach wcześniejszych niż R10.5.2, R10.6.2 oraz R10.7.1

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Ivanti Standalone Sentry

    APP
    Ivanti
    10.7.0< 10.5.210.6.0 – 10.6.2 (bez)

CISA KEV — szczegółyi

Dostawcai
Ivanti
Produkti
Sentry
Data dodania do KEVi
11 czerwca 2026
Termin remediation (USA)i
14 czerwca 2026(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, zapewniając zgodność z wytycznymi CISA BOD 26-04 Prioritizing Security Updates Based on Risk (zobacz URL w Notatkach) i wytycznymi "Forensics Triage Requirements" CISA (zobacz URL w Notatkach). Postępuj zgodnie z zastosowanymi wytycznymi BOD 26-04 dla usług w chmurze lub przerwij używanie produktu, jeśli mitygacje są niedostępne. Interesariusze są odpowiedzialni za ocenę ekspozycji każdego zasobu na internet i zapewnienie zgodności z wytycznymi patchowania BOD 26-04.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations in accordance with vendor instructions, ensuring compliance with CISA’s BOD 26-04 Prioritizing Security Updates Based on Risk (see URL in Notes) guidance and CISA’s “Forensics Triage Requirements” (see URL in Notes). Follow applicable BOD 26-04 guidance for cloud services or discontinue use of the product if mitigations are unavailable. Stakeholders are responsible for evaluating each asset's internet exposure and ensuring adherence to BOD 26-04 patching guidelines.

Opis CISAi

Ivanti Sentry (wcześniej znany jako MobileIron Sentry) zawiera lukę umożliwiającą OS command injection, która mogłaby pozwolić zdalnym użytkownikom nieuwierzytelnianym na osiągnięcie RCE na poziomie root. Ta luka może być skutecznie wykorzystana w przypadkach, gdy appliance Sentry znajduje się w stanie niezarządzanym z dostępnymi zewnętrznie endpoints'ami. Użycie mTLS z EPMM lub ograniczonego dostępu HTTPS poprzez Neurons for MDM czyni interfejsy niedostępnymi dla aktorów zewnętrznych.

tłumaczenie AI
Pokaż oryginał (EN)

Ivanti Sentry (formerly known as MobileIron Sentry) contains an OS command injection vulnerability which could allow a remote unauthenticated user to achieve root-level remote code execution. This vulnerability can be successfully exploited in cases where the Sentry appliance is in an unmanaged state with its endpoints externally reachable. The use of mTLS with EPMM or restricted HTTPS access through Neurons for MDM makes interfaces inaccessible to external actors.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 14 czerwca 2026
Tagi
RCECommand Injection
CWE
Referencje

Powiązane podatności

CVE-2026-10523CRITICAL9.9PL ✓ten sam produkt

Authentication Bypass w Ivanti Sentry — tworzenie kont admina bez uwierzytelnienia

CVE-2024-8540HIGH8.8ten sam produkt

Insecure permissions in Ivanti Sentry before versions 9.20.2 and 10.0.2 or 10.1.0 allow a local authenticated ...

CVE-2023-41724HIGH8.8ten sam produkt

A command injection vulnerability in Ivanti Sentry prior to 9.19.0 allows unauthenticated threat actor to exec...

CVE-2026-1281CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Krytyczny code injection w Ivanti Endpoint Manager Mobile (RCE bez uwierzytelnienia)

CVE-2026-1340CRITICAL9.8⚠ KEVPL ✓ten sam vendor

Code injection w Ivanti EPMM umożliwiający nieuwierzytelniony RCE