Ivanti opravuje 3 zranitelnosti, z toho 1 aktivně zneužívanou

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] Ivanti opravuje 3 zranitelnosti, z toho 1 aktivně zneužívanou

Ivanti opravuje 3 zranitelnosti v produktech Ivanti Sentry [1] a Ivanti Endpoint Manager Mobile [2]. Zranitelnost CVE-2026-10520 byla na základě důkazů o aktivním zneužívání zařazena do katalogu známých zneužívaných zranitelností (KEV) agentury CISA [3]. Produkty a jejich opravené verze: Ivanti Sentry - 10.5.2, 10.6.2, 10.7.1 [1] Ivanti Endpoint Manager Mobile - 12.9.0.1, 12.8.0.3, 12.7.0.2 [2]

Ivanti Sentry - RCE (CVE-2026-10520)

CVSS 10.0 (Critical)

Neautentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu OS Command Injection v Ivanti Sentry umožněno spustit libovolný kód s oprávněními root [1].

Zranitelnost se nachází v produktu Ivanti Sentry ve verzích (<=10.5.1) OR (<=10.6.1) OR (<=10.7.0).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Více informací:

CVE-2026-10520 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 9. 6. 2026.

Ivanti Sentry - authentication bypass (CVE-2026-10523)

CVSS 10.0 (Critical)

Neautentizovanému vzdálenému útočníkovi je v Ivanti Sentry umožněno vytvořit libovolné administrátorské účty a získat plný administrátorský přístup [1].

Zranitelnost se nachází v produktu Ivanti Sentry ve verzích (<=10.5.1) OR (<=10.6.1) OR (<=10.7.0).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Více informací:

CVE-2026-10523 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-288: Authentication Bypass Using an Alternate Path or Channel at cwe.mitre.org

Zranitelnost byla veřejně oznámena 9. 6. 2026.

Ivanti Endpoint Manager Mobile - arbitrary command execution (CVE-2026-10727)

CVSS 7.2 (High)

Autentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu OS Command Injection v Ivanti EPMM umožněno spustit libovolné příkazy s oprávněními root [2].

Zranitelnost se nachází v produktu Ivanti Endpoint Manager Mobile ve verzích (<=12.9.0) OR (<=12.8.0.2) OR (<=12.7.0.1).

CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

Více informací:

CVE-2026-10727 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 9. 6. 2026.

Odkazy

Za CESNET-CERTS Michaela Jarošová dne 15. 6. 2026.

Zpětná vazba k reportu

[TLP:CLEAR] Ivanti opravuje 3 zranitelnosti, z toho 1 aktivně zneužívanou

Ivanti Sentry - RCE (CVE-2026-10520)

CVSS 10.0 (Critical)

Ivanti Sentry - authentication bypass (CVE-2026-10523)

CVSS 10.0 (Critical)

Ivanti Endpoint Manager Mobile - arbitrary command execution (CVE-2026-10727)

CVSS 7.2 (High)

Odkazy