Kritické zraniteľnosti v produkte Ivanti Sentry

Spoločnosť Ivanti vydala bezpečnostné aktualizácie na svoj produkt  Ivanti Sentry, ktoré opravujú dve kritické zraniteľnosti. Zraniteľnosti umožňujú získanie administrátorských oprávnení a schopnosti vykonávať vzdialene kód.

Zraniteľné systémy:

• Ivanti Sentry vo verziách 10.5.1, 10.6.1 a 10.7.0 a starších

Opis zraniteľnosti:

CVE-2026-10520  (CVSS skóre 10,0)

Kritická zraniteľnosť umožňuje vzdialenému neautentifikovanému útočníkovi injektovať príkazy a vykonávať ich s oprávneniami root. Zraniteľnosť pridala organizácia CISA do svojho katalógu KEV, pretože boli reportované pokusy o jej zneužitie v rámci systémov honeypot.

CVE-2026-10523  (CVSS skóre 9,9)

Kritická zraniteľnosť umožňuje vzdialenému neautentifikovanému útočníkovi vytvoriť ľubovoľné administrátorské účty a získať plný administrátorský prístup.

Možné škody:

• Obídenie bezpečnostných prvkov
• Eskalácia oprávnení
• Vykonávanie ľubovoľného kódu

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu Ivanti Sentry aspoň na verzie 10.5.2, 10.6.2 alebo 10.7.1.

Výrobca odporúča nevystavovať manažmentový port 8443 do internetu.

Zdroje:

• https://hub.ivanti.com/s/article/Security-Advisory-Ivanti-Sentry-CVE-2026-10520-CVE-2026-10523?language=en_US
• https://nvd.nist.gov/vuln/detail/CVE-2026-10520
• https://www.tenable.com/cve/CVE-2026-10523