Krytyczna podatność typu command injection w Ivanti Sentry umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnych poleceń systemowych z uprawnieniami root. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko — brak wymagań dotyczących uwierzytelnienia i interakcji użytkownika czyni tę lukę wyjątkowo niebezpieczną.
▸ Pokaż oryginał (EN)
An OS Command Injection vulnerability in Ivanti Sentry before the R10.5.2, R10.6.2 and R10.7.1 versions allows a remote unauthenticated user to achieve root-level remote code execution
Podatność polega na nieprawidłowej sanitizacji danych wejściowych przekazywanych do wywołań systemowych (CWE-78 — OS Command Injection). Atakujący może spreparować odpowiednie żądanie sieciowe i wstrzyknąć złośliwe polecenia systemowe, które zostaną wykonane przez serwer bez konieczności posiadania jakichkolwiek poświadczeń. Zasięg ataku wykracza poza kontekst samej aplikacji (scope changed), co oznacza możliwość wpływu na inne komponenty systemu.
Atakujący uzyskuje zdalne wykonanie kodu (RCE) z uprawnieniami root na podatnym urządzeniu, co oznacza pełne przejęcie kontroli nad systemem, dostęp do poufnych danych, możliwość modyfikacji konfiguracji oraz potencjalne wykorzystanie serwera jako punktu wyjścia do dalszych ataków w sieci wewnętrznej.
Należy natychmiast zaktualizować Ivanti Sentry do wersji R10.5.2, R10.6.2 lub R10.7.1 (w zależności od używanej gałęzi). Szczegółowe instrukcje dostępne są w oficjalnym biuletynie bezpieczeństwa producenta pod adresem wskazanym w referencjach. Do czasu wdrożenia patcha zaleca się ograniczenie dostępu sieciowego do interfejsów zarządzania Ivanti Sentry wyłącznie do zaufanych adresów IP.
Ivanti Sentry we wszystkich wersjach wcześniejszych niż R10.5.2, R10.6.2 oraz R10.7.1
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HIvanti Standalone Sentry
APPIvanti10.7.0< 10.5.210.6.0 – 10.6.2 (bez)
CISA KEV — szczegółyi
- Dostawcai
- Ivanti ↗
- Produkti
- Sentry
- Data dodania do KEVi
- 11 czerwca 2026
- Termin remediation (USA)i
- 14 czerwca 2026(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, zapewniając zgodność z wytycznymi CISA BOD 26-04 Prioritizing Security Updates Based on Risk (zobacz URL w Notatkach) i wytycznymi "Forensics Triage Requirements" CISA (zobacz URL w Notatkach). Postępuj zgodnie z zastosowanymi wytycznymi BOD 26-04 dla usług w chmurze lub przerwij używanie produktu, jeśli mitygacje są niedostępne. Interesariusze są odpowiedzialni za ocenę ekspozycji każdego zasobu na internet i zapewnienie zgodności z wytycznymi patchowania BOD 26-04.
▸ Pokaż oryginał (EN)
Apply mitigations in accordance with vendor instructions, ensuring compliance with CISA’s BOD 26-04 Prioritizing Security Updates Based on Risk (see URL in Notes) guidance and CISA’s “Forensics Triage Requirements” (see URL in Notes). Follow applicable BOD 26-04 guidance for cloud services or discontinue use of the product if mitigations are unavailable. Stakeholders are responsible for evaluating each asset's internet exposure and ensuring adherence to BOD 26-04 patching guidelines.
Ivanti Sentry (wcześniej znany jako MobileIron Sentry) zawiera lukę umożliwiającą OS command injection, która mogłaby pozwolić zdalnym użytkownikom nieuwierzytelnianym na osiągnięcie RCE na poziomie root. Ta luka może być skutecznie wykorzystana w przypadkach, gdy appliance Sentry znajduje się w stanie niezarządzanym z dostępnymi zewnętrznie endpoints'ami. Użycie mTLS z EPMM lub ograniczonego dostępu HTTPS poprzez Neurons for MDM czyni interfejsy niedostępnymi dla aktorów zewnętrznych.
▸ Pokaż oryginał (EN)
Ivanti Sentry (formerly known as MobileIron Sentry) contains an OS command injection vulnerability which could allow a remote unauthenticated user to achieve root-level remote code execution. This vulnerability can be successfully exploited in cases where the Sentry appliance is in an unmanaged state with its endpoints externally reachable. The use of mTLS with EPMM or restricted HTTPS access through Neurons for MDM makes interfaces inaccessible to external actors.
Powiązane podatności
Authentication Bypass w Ivanti Sentry — tworzenie kont admina bez uwierzytelnienia
Insecure permissions in Ivanti Sentry before versions 9.20.2 and 10.0.2 or 10.1.0 allow a local authenticated ...
A command injection vulnerability in Ivanti Sentry prior to 9.19.0 allows unauthenticated threat actor to exec...
Krytyczny code injection w Ivanti Endpoint Manager Mobile (RCE bez uwierzytelnienia)
Code injection w Ivanti EPMM umożliwiający nieuwierzytelniony RCE