Katalog CVE

Aktywnie wykorzystywana w atakach

Ivanti Sentry OS Command Injection Vulnerability

Ivanti — Sentry · Figuruje w katalogu CISA KEV od 2026-06-11. Oznacza to potwierdzone ataki w środowisku produkcyjnym.

Wymagane działanie: Apply mitigations in accordance with vendor instructions, ensuring compliance with CISA’s BOD 26-04 Prioritizing Security Updates Based on Risk (see URL in Notes) guidance and CISA’s “Forensics Triage Requirements” (see URL in Notes). Follow applicable BOD 26-04 guidance for cloud services or discontinue use of the product if mitigations are unavailable. Stakeholders are responsible for evaluating each asset's internet exposure and ensuring adherence to BOD 26-04 patching guidelines.

CVE-2026-10520

KrytyczneCVSS 10.0KEV
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Bardzo wysokie ryzyko
47.91%

Percentyl 98 — wyżej niż 98% wszystkich znanych CVE

Streszczenie

W podatności CVE-2026-10520 w Ivanti Sentry przed wersjami R10.5.2, R10.6.2 i R10.7.1 występuje luka typu OS Command Injection, która pozwala zdalnemu, nieautoryzowanemu użytkownikowi na uzyskanie zdalnego wykonania kodu na poziomie roota.

Ocena ryzyka

Ta podatność stwarza poważne ryzyko dla organizacji, umożliwiając atakującym zdalne przejęcie kontroli nad systemem bez potrzeby autoryzacji.

Rekomendacja

Zaleca się aktualizację Ivanti Sentry do najnowszej wersji, aby usunąć tę lukę oraz wdrożenie dodatkowych środków zabezpieczających w celu ochrony przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

An OS Command Injection vulnerability in Ivanti Sentry before the R10.5.2, R10.6.2 and R10.7.1 versions allows a remote unauthenticated user to achieve root-level remote code execution

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS